Veelgestelde vragen over beveiliging voor Azure NetApp Files

In dit artikel vindt u antwoorden op veelgestelde vragen over azure NetApp Files-beveiliging.

Kan het netwerkverkeer tussen de Virtuele Azure-machine en de opslag worden versleuteld?

Azure NetApp Files-gegevensverkeer is inherent veilig, omdat het geen openbaar eindpunt biedt en gegevensverkeer binnen het VNet van de klant blijft. Data-in-flight is niet standaard versleuteld. Gegevensverkeer van een Virtuele Azure-machine (met een NFS- of SMB-client) naar Azure NetApp Files is echter net zo veilig als elk ander Verkeer van Azure-VM naar VM.

Het NFSv3-protocol biedt geen ondersteuning voor versleuteling, dus deze gegevens in flight kunnen niet worden versleuteld. NFSv4.1- en SMB3-gegevensversleuteling kan echter desgewenst worden ingeschakeld. Gegevensverkeer tussen NFSv4.1-clients en Azure NetApp Files-volumes kan worden versleuteld met Kerberos met AES-256-versleuteling. Zie NFSv4.1 Kerberos-versleuteling configureren voor Azure NetApp Files voor meer informatie. Gegevensverkeer tussen SMB3-clients en Azure NetApp Files-volumes kan worden versleuteld met behulp van het AES-CCM-algoritme op SMB 3.0 en het AES-GCM-algoritme op SMB 3.1.1-verbindingen. Zie Een SMB-volume maken voor Azure NetApp Files voor meer informatie.

Kan de opslag in rust worden versleuteld?

Alle Azure NetApp Files-volumes worden versleuteld met de FIPS 140-2-standaard. Meer informatie over hoe versleutelingssleutels worden beheerd.

Wordt replicatieverkeer tussen regio's en zoneoverschrijdende replicatie van Azure NetApp Files versleuteld?

Azure NetApp Files-replicatie tussen regio's en zones maakt gebruik van TLS 1.2 AES-256 GCM-versleuteling om alle gegevens te versleutelen die worden overgedragen tussen het bronvolume en het doelvolume. Deze versleuteling is een aanvulling op de Azure MACSec-versleuteling die standaard is ingeschakeld voor alle Azure-verkeer, inclusief Azure NetApp Files-replicatie tussen regio's en zoneoverschrijdende replicatie.

Hoe worden versleutelingssleutels beheerd?

Sleutelbeheer voor Azure NetApp Files wordt standaard verwerkt door de service, met behulp van door platform beheerde sleutels. Er wordt een unieke XTS-AES-256-gegevensversleutelingssleutel gegenereerd voor elk volume. Een versleutelingssleutelhiërarchie wordt gebruikt om alle volumesleutels te versleutelen en te beveiligen. Deze versleutelingssleutels worden nooit weergegeven of gerapporteerd in een niet-versleutelde indeling. Wanneer u een volume verwijdert, verwijdert Azure NetApp Files onmiddellijk de versleutelingssleutels van het volume.

U kunt ook door de klant beheerde sleutels voor volumeversleuteling van Azure NetApp Files gebruiken waar sleutels worden opgeslagen in Azure Key Vault. Met door de klant beheerde sleutels kunt u de relatie tussen de levenscyclus van een sleutel, sleutelgebruiksmachtigingen en controlebewerkingen op sleutels volledig beheren. De functie is algemeen beschikbaar (GA) in ondersteunde regio's.

Bovendien worden door de klant beheerde sleutels met behulp van Azure Dedicated HSM op gecontroleerde basis ondersteund. Ondersteuning is momenteel beschikbaar in de regio's VS - oost, VS - zuid-centraal, VS - west 2 en US Gov Virginia. U kunt toegang aanvragen op anffeedback@microsoft.com. Wanneer de capaciteit beschikbaar is, worden aanvragen goedgekeurd.

Kan ik de NFS-exportbeleidsregels configureren om de toegang tot het koppelingsdoel van de Azure NetApp Files-service te beheren?

Ja, u kunt maximaal vijf regels configureren in één NFS-exportbeleid.

Kan ik op rollen gebaseerd toegangsbeheer (RBAC) van Azure gebruiken met Azure NetApp Files?

Ja, Azure NetApp Files biedt ondersteuning voor Azure RBAC-functies. Naast de ingebouwde Azure-rollen kunt u aangepaste rollen maken voor Azure NetApp Files.

Zie Bewerkingen van de Azure-resourceprovider voor Microsoft.NetAppde volledige lijst met Azure NetApp Files-machtigingen.

Worden Azure-activiteitenlogboeken ondersteund in Azure NetApp Files?

Azure NetApp Files is een systeemeigen Azure-service. Alle PUT-, POST- en DELETE-API's voor Azure NetApp Files worden vastgelegd. In de logboeken worden bijvoorbeeld activiteiten weergegeven zoals wie de momentopname heeft gemaakt, wie het volume heeft gewijzigd, enzovoort.

Zie Azure NetApp Files REST API voor de volledige lijst met API-bewerkingen.

Kan ik Azure-beleid gebruiken met Azure NetApp Files?

Ja, u kunt aangepaste Azure-beleidsregels maken.

U kunt echter geen Azure-beleid (aangepaste naamgevingsbeleid) maken in de Interface van Azure NetApp Files. Zie Richtlijnen voor Azure NetApp Files-netwerkplanning.

Wanneer ik een Azure NetApp Files-volume verwijder, worden de gegevens veilig verwijderd?

Het verwijderen van een Azure NetApp Files-volume wordt programmatisch uitgevoerd met onmiddellijk effect. De verwijderbewerking omvat het verwijderen van sleutels die worden gebruikt voor het versleutelen van data-at-rest. Er is geen optie voor een scenario om een verwijderd volume te herstellen zodra de verwijderbewerking is uitgevoerd (via interfaces zoals Azure Portal en de API.)

Hoe worden de Active Directory-Verbinding maken orreferenties opgeslagen in de Azure NetApp Files-service?

De AD-Verbinding maken orreferenties worden opgeslagen in de Azure NetApp Files-besturingsvlakdatabase in een versleutelde indeling. Het gebruikte versleutelingsalgoritmen zijn AES-256 (in één richting).

Volgende stappen

• Een ondersteuningsaanvraag maken voor Azure
• Veelgestelde vragen over netwerken
• Veelgestelde vragen over prestaties
• Veelgestelde vragen over NFS
• Veelgestelde vragen over SMB
• Veelgestelde vragen over capaciteitsbeheer
• Veelgestelde vragen over gegevensmigratie en -beveiliging
• Veelgestelde vragen over back-ups van Azure NetApp Files
• Veelgestelde vragen over toepassingstolerantie
• Veelgestelde vragen over integratie