Dela via


Vanliga frågor och svar om säkerhet för Azure NetApp Files

Den här artikeln besvarar vanliga frågor och svar om Säkerhet i Azure NetApp Files.

Kan nätverkstrafiken mellan den virtuella Azure-datorn och lagringen krypteras?

Azure NetApp Files-datatrafik är i sig säker avsiktligt, eftersom den inte tillhandahåller någon offentlig slutpunkt, och datatrafiken stannar kvar i det kundägda virtuella nätverket. Data under flygning krypteras inte som standard. Datatrafik från en virtuell Azure-dator (som kör en NFS- eller SMB-klient) till Azure NetApp Files är dock lika säker som all annan Azure-VM-till-VM-trafik.

NFSv3-protokollet har inte stöd för kryptering, så dessa data under flygning kan inte krypteras. NFSv4.1 och SMB3 data-in-flight-kryptering kan dock aktiveras. Datatrafik mellan NFSv4.1-klienter och Azure NetApp Files-volymer kan krypteras med Kerberos med AES-256-kryptering. Mer information finns i Konfigurera NFSv4.1 Kerberos-kryptering för Azure NetApp Files . Datatrafik mellan SMB3-klienter och Azure NetApp Files-volymer kan krypteras med hjälp av AES-CCM-algoritmen på SMB 3.0 och AES-GCM-algoritmen på SMB 3.1.1-anslutningar. Mer information finns i Skapa en SMB-volym för Azure NetApp Files .

Kan lagringen krypteras i vila?

Alla Azure NetApp Files-volymer krypteras med FIPS 140-2-standarden. Lär dig hur krypteringsnycklar hanteras.

Krypteras replikeringstrafik mellan regioner och mellan zoner i Azure NetApp Files?

Azure NetApp Files replikering mellan regioner och mellan zoner använder TLS 1.2 AES-256 GCM-kryptering för att kryptera alla data som överförs mellan källvolymen och målvolymen. Den här krypteringen är utöver Den Azure MACSec-kryptering som är aktiverad som standard för all Azure-trafik, inklusive Azure NetApp Files-replikering mellan regioner och replikering mellan zoner.

Hur hanteras krypteringsnycklar?

Som standard hanteras nyckelhantering för Azure NetApp Files av tjänsten med hjälp av plattformshanterade nycklar. En unik XTS-AES-256-datakrypteringsnyckel genereras för varje volym. En krypteringsnyckelhierarki används för att kryptera och skydda alla volymnycklar. Dessa krypteringsnycklar visas eller rapporteras aldrig i ett okrypterat format. När du tar bort en volym tar Azure NetApp Files omedelbart bort volymens krypteringsnycklar.

Alternativt kan kundhanterade nycklar för Azure NetApp Files-volymkryptering användas där nycklar lagras i Azure Key Vault. Med kundhanterade nycklar kan du helt hantera relationen mellan en nyckels livscykel, behörigheter för nyckelanvändning och granskningsåtgärder på nycklar. Funktionen är allmänt tillgänglig (GA) i regioner som stöds. Azure NetApp Files-volymkryptering med kundhanterade nycklar med den hanterade maskinvarusäkerhetsmodulen är ett tillägg till den här funktionen, så att du kan lagra dina krypteringsnycklar i en säkrare FIPS 140-2 HSM på nivå 3 i stället för FIPS 140-2-tjänsten på nivå 1 eller nivå 2 som används av Azure Key Vault.

Azure NetApp Files stöder möjligheten att flytta befintliga volymer med plattformshanterade nycklar till kundhanterade nycklar. När du har slutfört övergången kan du inte återgå till plattformshanterade nycklar. Mer information finns i Överföra en Azure NetApp Files-volym till kundhanterade nycklar.

Kan jag konfigurera NFS-exportprincipreglerna för att styra åtkomsten till azure NetApp Files-tjänstens monteringsmål?

Ja, du kan konfigurera upp till fem regler i en enda NFS-exportprincip.

Kan jag använda rollbaserad åtkomstkontroll i Azure (RBAC) med Azure NetApp Files?

Ja, Azure NetApp Files stöder Azure RBAC-funktioner. Tillsammans med de inbyggda Azure-rollerna kan du skapa anpassade roller för Azure NetApp Files.

En fullständig lista över Azure NetApp Files-behörigheter finns i Azure-resursprovideråtgärder för Microsoft.NetApp.

Stöds Azure-aktivitetsloggar på Azure NetApp Files?

Azure NetApp Files är en intern Azure-tjänst. Alla PUT-, POST- och DELETE-API:er mot Azure NetApp Files loggas. Loggarna visar till exempel aktiviteter som vem som skapade ögonblicksbilden, vem som ändrade volymen och så vidare.

En fullständig lista över API-åtgärder finns i REST API för Azure NetApp Files.

Kan jag använda Azure-principer med Azure NetApp Files?

Ja, du kan skapa anpassade Azure-principer.

Du kan dock inte skapa Azure-principer (anpassade namngivningsprinciper) i Azure NetApp Files-gränssnittet. Se Riktlinjer för Azure NetApp Files-nätverksplanering.

Tas data bort på ett säkert sätt när jag tar bort en Azure NetApp Files-volym?

Borttagning av en Azure NetApp Files-volym utförs programmatiskt med omedelbar verkan. Borttagningsåtgärden omfattar borttagning av nycklar som används för att kryptera vilande data. Det finns inget alternativ för ett scenario att återställa en borttagen volym när borttagningsåtgärden har körts (via gränssnitt som Azure Portal och API:et.)

Hur lagras autentiseringsuppgifterna för Active Directory Connector i Azure NetApp Files-tjänsten?

Autentiseringsuppgifterna för AD Connector lagras i azure NetApp Files-kontrollplansdatabasen i ett krypterat format. Krypteringsalgoritmen som används är AES-256 (enkelriktad).

Nästa steg