Часто задаваемые вопросы по безопасности для Azure NetApp Files

В этой статье приведены ответы на часто задаваемые вопросы о безопасности Azure NetApp Files.

Можно ли настроить шифрование сетевого трафика между виртуальной машиной Azure и хранилищем?

Трафик данных Azure NetApp Files по сути является безопасным путем разработки, так как он не предоставляет общедоступную конечную точку, а трафик данных остается в виртуальной сети, принадлежащей клиенту. По умолчанию данные не шифруются. Но трафик от любой виртуальной машины Azure (с клиентом NFS или SMB) к Azure NetApp Files так же безопасен, как при любом другом взаимодействии между виртуальными машинами Azure.

Протокол NFSv3 не обеспечивает поддержку шифрования, поэтому этот поток данных не может быть зашифрован. При необходимости можно включить шифрование NFSv4.1 и SMB3 для данных при передаче. Трафик данных между клиентами NFSv4.1 и томами Azure NetApp Files можно шифровать с использованием Kerberos и протокола AES-256. Дополнительные сведения см. в статье Настройка шифрования Kerberos NFSv4.1 для Azure NetApp Files. Трафик между клиентами SMB3 и томами Azure NetApp Files можно шифровать с помощью алгоритма AES-CCM в SMB 3.0 и алгоритма AES-GCM в SMB 3.1.1. Дополнительные сведения см. в статье Создание тома SMB для Azure NetApp Files.

Можно ли шифровать неактивные данные в хранилище?

Все тома Azure NetApp Files шифруются по стандарту FIPS 140-2. Узнайте, как управляемые ключи шифрования.

Зашифрован ли трафик между регионами и межзонными реплика трафиком Azure NetApp Files?

Azure NetApp Files между регионами и межзонными реплика tion использует шифрование TLS 1.2 AES-256 GCM для шифрования всех данных, передаваемых между исходным томом и конечным томом. Это шифрование в дополнение к шифрованию Azure MACSec, которое по умолчанию используется для всего трафика Azure, включая Azure NetApp Files между регионами и межзонными реплика tion.

Как осуществляется управление ключами шифрования?

По умолчанию управление ключами для Azure NetApp Files обрабатывается службой с помощью ключей, управляемых платформой. Для каждого тома создается уникальный ключ шифрования данных XTS-AES-256. Используется иерархия ключей шифрования для шифрования и защиты всех ключей томов. Эти ключи шифрования никогда не отображаются и никуда не передаются в незашифрованном виде. При удалении тома Azure NetApp Files немедленно удаляет ключи шифрования тома.

Кроме того, ключи, управляемые клиентом, для шифрования томов Azure NetApp Files можно использовать, где ключи хранятся в Azure Key Vault. С помощью ключей, управляемых клиентом, можно полностью управлять связью между жизненным циклом ключа, разрешениями на использование ключей и операциями аудита с ключами. Эта функция общедоступна в поддерживаемых регионах.

Кроме того, управляемые клиентом ключи с помощью выделенного устройства HSM Azure поддерживаются на управляемой основе. В настоящее время поддержка доступна в регионах "Восточная часть США", "Южная часть США", "Западная часть США 2" и "Губернатор США Вирджиния". Вы можете запросить доступ по адресу anffeedback@microsoft.com. Запросы будут удовлетворяться по мере появления доступной емкости.

Можно ли настроить правила политики экспорта NFS для управления доступом к целевому объекту подключения службы Azure NetApp Files?

Да, вы можете настроить до пяти правил в одной политике экспорта NFS.

Можно ли использовать управление доступом на основе ролей Azure (RBAC) с Azure NetApp Files?

Да, Azure NetApp Files поддерживает возможности Azure RBAC. Кроме встроенных ролей Azure, вы можете создавать пользовательские роли для Azure NetApp Files.

Полный список разрешений для Azure NetApp Files см. в описании работы поставщика ресурсов Azure для Microsoft.NetApp.

Поддерживает ли Azure NetApp Files журналы действий Azure?

Azure NetApp Files — нативная служба Azure. Это означает, что для Azure NetApp Files автоматически создаются журналы всех операций в API PUT, POST и DELETE. Например, в этих журналах отображаются сведения о том, кто создал моментальный снимок, изменил том и т. д.

Полный список операций API см. в статье REST API Azure NetApp Files.

Можно ли использовать политики Azure для Azure NetApp Files?

Да, вы можете создавать пользовательские политики Azure.

Однако нельзя создавать политики Azure (пользовательские политики именования) в интерфейсе Azure NetApp Files. См. раздел рекомендации по сетевому планированию файлов Azure NetApp.

Безопасно ли удаляются данные при удалении тома Azure NetApp Files?

Удаление тома Azure NetApp Files выполняется программно с немедленным эффектом. Операция удаления включает удаление ключей, используемых для шифрования неактивных данных. Нет ни единой возможности восстановить удаленный том после успешного выполнения операции удаления (через такие интерфейсы, как портал Azure и API).

Как учетные данные Подключение active Directory хранятся в службе Azure NetApp Files?

Учетные данные Подключение AD хранятся в базе данных уровня управления Azure NetApp Files в зашифрованном формате. Используемый алгоритм шифрования — AES-256 (односторонний).

Следующие шаги

• Создание запроса на поддержку Azure
• Часто задаваемые вопросы о сети
• Вопросы и ответы по производительности
• Вопросы и ответы по NFS
• Часто задаваемые вопросы о SMB
• Вопросы и ответы по управлению ресурсами
• Часто задаваемые вопросы о миграции и защите данных
• Часто задаваемые вопросы об Azure NetApp Files
• Часто задаваемые вопросы об устойчивости приложений
• Часто задаваемые вопросы об интеграции