Perguntas frequentes sobre segurança do Azure NetApp Files

Este artigo responde às perguntas frequentes sobre a segurança do Azure NetApp Files.

O tráfego de rede entre a VM do Azure e o armazenamento pode ser criptografado?

O tráfego de dados do Azure NetApp Files é inerentemente seguro por design, pois não fornece um ponto de extremidade público e o tráfego de dados permanece na rede virtual de propriedade do cliente. Os dados em trânsito não são criptografados por padrão. No entanto, o tráfego de uma VM do Azure (executando um cliente NFS ou SMB) para o Azure NetApp Files é tão seguro quanto qualquer outro tráfego entre VMs do Azure.

O protocolo NFSv3 não fornece suporte para criptografia, portanto, esses dados em voo não podem ser criptografados. No entanto, a criptografia de dados em trânsito NFSv4.1 e SMB3 pode ser habilitada opcionalmente. O tráfego de dados entre os clientes NFSv 4.1 e os volumes do Azure NetApp Files pode ser criptografado usando o Kerberos com a criptografia AES-256. Confira Configurar criptografia do Kerberos do NFSv 4.1 para Azure NetApp Files para obter detalhes. O tráfego de dados entre clientes SMB3 e volumes do Azure NetApp Files pode ser criptografado usando o algoritmo AES-CCM no SMB 3.0 e o algoritmo AES-GCM em conexões SMB 3.1.1. Para obter mais detalhes, confira como Criar um volume SMB para o Azure NetApp Files.

O armazenamento pode ser criptografado em repouso?

Todos os volumes do Azure NetApp Files são criptografados usando o padrão FIPS 140-2. Saiba como as chaves de criptografia são gerenciadas.

O tráfego de replicação entre regiões e entre zonas dos Arquivos NetApp do Azure é criptografado?

A replicação entre regiões e entre zonas dos Arquivos NetApp do Azure usa a criptografia GCM TLS 1.2 AES-256 para criptografar todos os dados transferidos entre o volume de origem e o volume de destino. Essa criptografia é adicional à criptografia MACSec do Azure que está ativada por padrão para todo o tráfego do Azure, incluindo a replicação entre regiões e entre zonas dos Arquivos NetApp do Azure.

Como as chaves de criptografia são gerenciadas?

Por padrão, o gerenciamento de chaves do Azure NetApp Files é manipulado pelo serviço, usando chaves gerenciadas por plataforma. Uma chave de criptografia de dados XTS-AES-256 exclusiva é gerada para cada volume. Uma hierarquia de chaves de criptografia é usada para criptografar e proteger todas as chaves de volume. Essas chaves de criptografia nunca são exibidas ou relatadas em formato não criptografado. Quando você exclui um volume, os Arquivos do Azure NetApp excluem imediatamente as chaves de criptografia do volume.

Como alternativa, as chaves gerenciadas pelo cliente para a criptografia de volume do Azure NetApp Files podem ser usadas onde as chaves são armazenadas no Cofre de Chaves do Azure. Com as chaves gerenciadas pelo cliente, você pode gerenciar totalmente a relação entre o ciclo de vida de uma chave, as permissões de uso da chave e as operações de auditoria nas chaves. O recurso está disponível para o público geral (GA) em regiões com suporte.

Além disso, as chaves gerenciadas pelo cliente usando o HSM Dedicado do Azure têm suporte controlado. Atualmente, o suporte está disponível nas regiões Leste dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2 e Governador dos EUA na Virgínia. É possível solicitar acesso em anffeedback@microsoft.com. À medida que a capacidade se tornar disponível, as solicitações serão aprovadas.

É possível configurar as regras da política de exportação do NFS para controlar o acesso ao destino de montagem do serviço do Azure NetApp Files?

Sim, é possível configurar até cinco regras em uma única política de exportação do NFS.

Posso usar o RBAC (controle de acesso baseado em função) do Azure com os Arquivos do Azure NetApp?

Sim, o Azure NetApp Files dá suporte aos recursos do Azure RBAC. Juntamente com as funções internas do Azure, é possível criar funções personalizadas para o Azure NetApp Files.

Para obter a lista completa de permissões do Azure NetApp Files, confira as operações de provedor de recursos do Azure para Microsoft.NetApp.

O Azure NetApp Files dá suporte aos logs de atividades do Azure?

O Azure NetApp Files é um serviço nativo do Azure. Todas as APIs PUT, POST e DELETE são registradas no Azure NetApp Files. Por exemplo, os logs mostram atividades como quem criou o instantâneo, quem modificou o volume e assim por diante.

Para obter a lista completa das operações de API, confira API REST do Azure NetApp Files.

É possível usar as políticas do Azure com o Azure NetApp Files?

Sim, é possível criar políticas personalizadas do Azure.

No entanto, você não pode criar políticas do Azure (políticas de nomenclatura personalizadas) na interface do Azure NetApp Files. Consulte Diretrizes para planejamento de rede do Azure NetApp Files.

Quando excluo um volume do Azure NetApp Files, os dados são excluídos com segurança?

A exclusão de um volume do Azure NetApp Files é feita de modo programático, com efeito imediato. A operação de exclusão inclui a exclusão de chaves usadas para criptografar dados em repouso. Não há, em nenhum cenário, a opção de recuperar um volume excluído depois da conclusão da operação de exclusão (por meio de interfaces como o portal do Azure e a API).

Como as credenciais do Active Directory Connector são armazenadas no serviço Azure NetApp Files?

As credenciais do AD Connector são armazenadas no banco de dados do painel de controle do Azure NetApp Files em um formato criptografado. O algoritmo de criptografia é AES-256 (unidirecional).

Próximas etapas

• Como criar uma solicitação de suporte do Azure
• Perguntas frequentes sobre rede
• Perguntas frequentes sobre o desempenho
• Perguntas frequentes sobre NFS
• Perguntas frequentes sobre o SMB
• Perguntas frequentes sobre o gerenciamento de capacidade
• Perguntas frequentes sobre migração e proteção de dados
• Perguntas frequentes sobre backup do Azure NetApp Files
• Perguntas frequentes sobre resiliência de aplicativos
• Perguntas frequentes sobre integração