你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure NetApp 文件的安全性常见问题解答
本文解答了有关 Azure NetApp 文件安全性的常见问题 (FAQ)。
根据设计,Azure NetApp 文件数据流量本质上是安全的,因为它不提供公共终结点,并且数据流量仍在客户拥有的 VNet 中。 默认情况下,不会对传输中数据进行加密。 但是,从 Azure VM(运行 NFS 或 SMB 客户端)到 Azure NetApp 文件的数据流量与任何其他 Azure VM 到 VM 流量一样安全。
NFSv3 协议不支持加密,因此无法对此传输中数据进行加密。 不过,也可以选择启用 NFSv4.1 和 SMB3 传输中数据加密。 可以使用 Kerberos AES-256 加密对 NFSv4.1 客户端和 Azure NetApp 文件卷之间的数据流量进行加密。 有关详细信息,请参阅为 Azure NetApp 文件配置 NFSv4.1 Kerberos 加密。 SMB3 客户端和 Azure NetApp 文件卷之间的数据流量可使用 SMB 3.0 的 AES-CCM 算法和 SMB 3.1.1 连接的 AES-GCM 算法进行加密。 有关详细信息,请参阅创建用于 Azure NetApp 文件的 SMB 卷。
所有 Azure NetApp 文件卷都使用 FIPS 140-2 标准进行加密。 了解如何管理加密密钥。
Azure NetApp 文件跨区域和跨可用性区域复制使用 TLS 1.2 AES-256 GCM 加密来加密源卷和目标卷之间传输的所有数据。 这种加密是对所有 Azure 流量(包括 Azure NetApp 文件跨区域和跨可用性区域复制)默认启用的 Azure MACSec 加密的补充。
默认情况下,Azure NetApp 文件的密钥管理由服务使用平台管理的密钥进行处理。 为每个卷生成唯一的 XTS-AES-256 数据加密密钥。 加密密钥层次结构用于加密和保护所有卷密钥。 这些加密密钥永远不会以未加密的格式显示或报告。 删除卷时,Azure NetApp 文件会立即删除卷的加密密钥。
或者,可以使用 Azure NetApp 文件卷加密的客户管理的密钥,其中密钥存储在 Azure Key Vault 中。 使用客户管理的密钥,你可以全面管理密钥的生命周期、密钥使用权限以及密钥审核操作之间的关系。 此功能现已在支持的区域中正式发布 (GA)。 在托管硬件安全模块中使用客户管理的密钥进行 Azure NetApp 文件卷加密是此功能的扩展,可让你将加密密钥存储在更安全的 FIPS 140-2 级别 3 HSM 中,而不是存储在 Azure 密钥保管库使用的 FIPS 140-2 级别 1 或级别 2 服务中。
Azure NetApp 文件支持将使用平台管理的密钥的现有卷移动到客户管理的密钥。 完成转换后,无法还原回平台管理的密钥。 有关详细信息,请参阅将 Azure NetApp 文件卷转换为客户管理的密钥。
能,你可以在单个 NFS 导出策略中配置最多五个规则。
能,Azure NetApp 文件支持 Azure RBAC 功能。 除了使用内置的 Azure 角色以外,还可为 Azure NetApp 文件创建自定义角色。
有关 Azure NetApp 文件权限的完整列表,请参阅针对 Microsoft.NetApp
的 Azure 资源提供程序操作。
Azure NetApp 文件是 Azure 原生的服务。 将会记录针对 Azure NetApp 文件的所有 PUT、POST 和 DELETE API 操作。 例如,日志中会显示谁创建了快照、谁修改了卷等活动。
有关 API 操作的完整列表,请参阅 Azure NetApp 文件 REST API。
是的,可以创建自定义 Azure 策略。
但是,不能在 Azure NetApp 文件界面上创建 Azure 策略(自定义命名策略)。 请参阅 Azure NetApp 文件网络规划指导原则。
Azure NetApp 文件卷的删除操作以编程方式执行,并会立即生效。 删除操作包括删除用于加密静态数据的密钥。 成功执行删除操作(通过 Azure 门户 和 API 等接口)后,任何情形下都无法恢复已删除的卷。
AD 连接器凭据以加密格式存储在 Azure NetApp 文件控制平面数据库中。 使用的加密算法为 AES-256(单向)。