通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure NetApp 文件的安全性常见问题解答

  • 项目

本文解答了有关 Azure NetApp 文件安全性的常见问题 (FAQ)。

能否对 Azure VM 和存储之间的网络流量进行加密?

根据设计,Azure NetApp 文件数据流量本质上是安全的,因为它不提供公共终结点,并且数据流量仍在客户拥有的 VNet 中。 默认情况下,不会对传输中数据进行加密。 但是,从 Azure VM(运行 NFS 或 SMB 客户端)到 Azure NetApp 文件的数据流量与任何其他 Azure VM 到 VM 流量一样安全。

NFSv3 协议不支持加密,因此无法对此传输中数据进行加密。 不过,也可以选择启用 NFSv4.1 和 SMB3 传输中数据加密。 可以使用 Kerberos AES-256 加密对 NFSv4.1 客户端和 Azure NetApp 文件卷之间的数据流量进行加密。 有关详细信息,请参阅为 Azure NetApp 文件配置 NFSv4.1 Kerberos 加密。 SMB3 客户端和 Azure NetApp 文件卷之间的数据流量可使用 SMB 3.0 的 AES-CCM 算法和 SMB 3.1.1 连接的 AES-GCM 算法进行加密。 有关详细信息,请参阅创建用于 Azure NetApp 文件的 SMB 卷

能否对存储进行静态加密?

所有 Azure NetApp 文件卷都使用 FIPS 140-2 标准进行加密。 了解如何管理加密密钥

Azure NetApp 文件跨区域和跨可用性区域复制流量是加密的吗?

Azure NetApp 文件跨区域和跨可用性区域复制使用 TLS 1.2 AES-256 GCM 加密来加密源卷和目标卷之间传输的所有数据。 这种加密是对所有 Azure 流量(包括 Azure NetApp 文件跨区域和跨可用性区域复制)默认启用的 Azure MACSec 加密的补充。

如何托管加密密钥?

默认情况下,Azure NetApp 文件的密钥管理由服务使用平台管理的密钥进行处理。 为每个卷生成唯一的 XTS-AES-256 数据加密密钥。 加密密钥层次结构用于加密和保护所有卷密钥。 这些加密密钥永远不会以未加密的格式显示或报告。 删除卷时,Azure NetApp 文件会立即删除卷的加密密钥。

或者,可以使用 Azure NetApp 文件卷加密的客户管理的密钥,其中密钥存储在 Azure Key Vault 中。 使用客户管理的密钥,你可以全面管理密钥的生命周期、密钥使用权限以及密钥审核操作之间的关系。 此功能现已在支持的区域中正式发布 (GA)。

此外,在受控制的基础上支持使用 Azure 专用 HSM 的客户管理的密钥。 目前在美国东部、美国中南部、美国西部 2 和 US Gov 弗吉尼亚州地区提供支持。 可以使用 Azure NetApp 文件反馈表请求访问权限。 容量可用时,请求将获得批准。

能否配置 NFS 导出策略规则来控制对 Azure NetApp 文件服务装载目标的访问?

能,你可以在单个 NFS 导出策略中配置最多五个规则。

能否将 Azure 基于角色的访问控制 (RBAC) 与 Azure NetApp 文件结合使用?

能,Azure NetApp 文件支持 Azure RBAC 功能。 除了使用内置的 Azure 角色以外,还可为 Azure NetApp 文件创建自定义角色

有关 Azure NetApp 文件权限的完整列表,请参阅针对 Microsoft.NetApp 的 Azure 资源提供程序操作。

Azure NetApp 文件是否支持 Azure 活动日志?

Azure NetApp 文件是 Azure 原生的服务。 将会记录针对 Azure NetApp 文件的所有 PUT、POST 和 DELETE API 操作。 例如,日志中会显示谁创建了快照、谁修改了卷等活动。

有关 API 操作的完整列表,请参阅 Azure NetApp 文件 REST API

是否可以在 Azure NetApp 文件中使用 Azure 策略?

是的,可以创建自定义 Azure 策略

但是,不能在 Azure NetApp 文件界面上创建 Azure 策略(自定义命名策略)。 请参阅 Azure NetApp 文件网络规划指导原则

删除 Azure NetApp 文件卷时,是否会安全地删除数据?

Azure NetApp 文件卷的删除操作以编程方式执行,并会立即生效。 删除操作包括删除用于加密静态数据的密钥。 成功执行删除操作(通过 Azure 门户 和 API 等接口)后,任何情形下都无法恢复已删除的卷。

如何将 Active Directory 连接器凭据存储在 Azure NetApp 文件服务上?

AD 连接器凭据以加密格式存储在 Azure NetApp 文件控制平面数据库中。 使用的加密算法为 AES-256(单向)。

后续步骤