你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure NetApp 文件的安全性常见问题解答
本文解答了有关 Azure NetApp 文件安全性的常见问题 (FAQ)。
能否对 Azure VM 和存储之间的网络流量进行加密?
Azure NetApp 文档数据流量在设计上本质上是安全的,因为它不提供公共终结点,数据流量保留在客户拥有的 VNet 中。 默认情况下,不会对传输中数据进行加密。 但是,从 Azure VM(运行 NFS 或 SMB 客户端)到 Azure NetApp 文件的数据流量与任何其他 Azure VM 到 VM 流量一样安全。
NFSv3 协议不支持加密,因此无法加密此正在进行的数据。 不过,也可以选择启用 NFSv4.1 和 SMB3 传输中数据加密。 可以使用 Kerberos AES-256 加密对 NFSv4.1 客户端和 Azure NetApp 文件卷之间的数据流量进行加密。 有关详细信息,请参阅为 Azure NetApp 文件配置 NFSv4.1 Kerberos 加密。 SMB3 客户端和 Azure NetApp 文件卷之间的数据流量可使用 SMB 3.0 的 AES-CCM 算法和 SMB 3.1.1 连接的 AES-GCM 算法进行加密。 有关详细信息,请参阅创建用于 Azure NetApp 文件的 SMB 卷。
能否对存储进行静态加密?
所有 Azure NetApp 文件卷都使用 FIPS 140-2 标准进行加密。 了解如何 管理加密密钥。
是否Azure NetApp 文档跨区域和跨区域副本 (replica)加密流量?
Azure NetApp 文档跨区域和跨区域副本 (replica)tion 使用 TLS 1.2 AES-256 GCM 加密来加密源卷和目标卷之间传输的所有数据。 除了默认为所有 Azure 流量启用的 Azure MACSec 加密之外,还包括Azure NetApp 文档跨区域和跨区域副本 (replica)。
如何托管加密密钥?
默认情况下,Azure NetApp 文档的密钥管理由服务使用平台管理的密钥进行处理。 为每个卷生成唯一的 XTS-AES-256 数据加密密钥。 加密密钥层次结构用于加密和保护所有卷密钥。 这些加密密钥永远不会以未加密的格式显示或报告。 删除卷时,Azure NetApp 文档会立即删除卷的加密密钥。
或者,可以使用用于Azure NetApp 文档卷加密的客户管理的密钥,其中密钥存储在 Azure 密钥库中。 使用客户管理的密钥,可以完全管理密钥生命周期、密钥使用权限和对密钥的审核操作之间的关系。 此功能在受支持的区域中正式发布(正式 版)。
此外,受控制的基础上支持使用 Azure 专用 HSM 的客户管理的密钥。 美国东部、美国中南部、美国西部 2 和美国州政府弗吉尼亚州区域目前提供支持。 可以通过 anffeedback@microsoft.com 请求访问权限。 容量可用时,请求将获得批准。
能否配置 NFS 导出策略规则来控制对 Azure NetApp 文件服务装载目标的访问?
能,你可以在单个 NFS 导出策略中配置最多五个规则。
是否可以将 Azure 基于角色的访问控制(RBAC)与Azure NetApp 文档配合使用?
能,Azure NetApp 文件支持 Azure RBAC 功能。 除了使用内置的 Azure 角色以外,还可为 Azure NetApp 文件创建自定义角色。
有关 Azure NetApp 文件权限的完整列表,请参阅针对 Microsoft.NetApp 的 Azure 资源提供程序操作。
Azure NetApp 文件是否支持 Azure 活动日志?
Azure NetApp 文件是 Azure 原生的服务。 将会记录针对 Azure NetApp 文件的所有 PUT、POST 和 DELETE API 操作。 例如,日志中会显示谁创建了快照、谁修改了卷等活动。
有关 API 操作的完整列表,请参阅 Azure NetApp 文件 REST API。
是否可以在 Azure NetApp 文件中使用 Azure 策略?
是的,可以创建自定义 Azure 策略。
但是,无法在Azure NetApp 文档接口上创建 Azure 策略(自定义命名策略)。 请参阅 Azure NetApp 文件网络规划指导原则。
删除 Azure NetApp 文件卷时,是否会安全地删除数据?
Azure NetApp 文件卷的删除操作以编程方式执行,并会立即生效。 删除操作包括删除用于加密静态数据的密钥。 成功执行删除操作(通过 Azure 门户 和 API 等接口)后,任何情形下都无法恢复已删除的卷。
如何将 Active Directory 连接器凭据存储在 Azure NetApp 文件服务上?
AD 连接器凭据以加密格式存储在 Azure NetApp 文件控制平面数据库中。 使用的加密算法为 AES-256(单向)。