分享方式:


Azure NetApp Files 的安全性常見問題集

本文回答關於 Azure NetApp Files 安全性的常見問題集 (FAQ)。

Azure VM 與儲存體之間的網路流量是否可以加密?

系統原始設計就會保護 Azure NetApp Files 資料流量,因為其不提供公用端點,而且資料流量都留在客戶擁有的 VNet 內。 傳輸中資料預設不加密。 不過,從 Azure VM (執行 NFS 或 SMB 用戶端) 到 Azure NetApp Files 的資料流量,就像任何其他 Azure VM 至 VM 流量一樣安全。

NFSv3 通訊協定不支援加密,因此無法加密此傳輸中資料。 不過,您可以選擇啟用 NFSv4.1 和 SMB3 傳輸中資料加密。 您可以使用 Kerberos 搭配 AES-256 加密,以加密 NFSv4.1 用戶端與 Azure NetApp Files 磁碟區之間的資料流量。 如需詳細資訊,請參閱設定適用於 Azure NetApp Files 的 NFSv4.1 Kerberos 加密。 您可以在 SMB 3.0 連線上使用 AES-CCM 演算法,在 SMB 3.1.1 連線上使用的 AES-GCM 演算法,以加密 SMB3 用戶端與 Azure NetApp Files 磁碟區之間的資料流量。 如需詳細資訊,請參閱建立適用於 Azure NetApp Files 的 SMB 磁碟區

儲存體是否可以在待用時加密?

所有 Azure NetApp Files 磁碟區都是使用 FIPS 140-2 標準來加密。 了解如何管理加密金鑰

Azure NetApp Files 跨區域複寫和跨可用性區域複寫流量是否加密?

Azure NetApp Files 跨區域複寫和跨可用性區域複寫使用 TLS 1.2 AES-256 GCM 加密,以加密來源磁碟區與目的地磁碟區之間傳輸的所有資料。 這是除了 Azure MACSec 加密 (預設對所有 Azure 流量都啟用,包括 Azure NetApp Files 跨區域複寫和跨可用性區域複寫) 之外的加密。

如何管理加密金鑰?

根據預設,Azure NetApp Files 的金鑰管理是由服務使用平台管理的金鑰來處理。 每個磁碟區都產生唯一的 XTS-AES-256 資料加密金鑰。 使用加密金鑰階層來加密和保護所有磁碟區金鑰。 永遠不會以未加密的格式顯示或報告這些加密金鑰。 刪除磁碟區時,Azure NetApp Files 會立即刪除磁碟區的加密金鑰。

或者,如果金鑰儲存在 Azure Key Vault 中,則可以使用 Azure NetApp 檔案磁碟區加密的客戶自控金鑰。 使用客戶自控金鑰,您可以完全管理金鑰生命週期、金鑰使用權限和金鑰稽核作業之間的關聯性。 此功能已在支援的區域中正式推出。 使用受控硬體安全性模組的客戶自控密鑰進行 Azure NetApp Files 磁碟區加密是此功能的延伸模組,可讓您將加密密鑰儲存在更安全的 FIPS 140-2 層級 3 HSM 中,而不是 Azure 金鑰保存庫 所使用的 FIPS 140-2 層級 1 或層級 2 服務。

Azure NetApp Files 支援將現有磁碟區從使用平台管理的金鑰移至客戶管理的金鑰。 完成轉換之後,就無法還原為平台管理的金鑰。 如需詳細資訊,請參閱將 Azure NetApp Files 磁碟區轉換為客戶管理的金鑰

我是否可以設定 NFS 匯出原則規則來控制對 Azure NetApp Files 服務掛接目標的存取?

是,您可以在單一 NFS 匯出原則中設定最多五個規則。

我可以搭配 Azure NetApp Files 使用 Azure 角色型存取控制 (RBAC) 嗎?

是,Azure NetApp Files 支援 Azure RBAC 功能。 除了內建的 Azure 角色之外,您還可以為 Azure NetApp Files 建立自訂角色

如需 Azure NetApp Files 權限的完整清單,請參閱 Microsoft.NetApp 的 Azure 資源提供者作業。

Azure NetApp Files 是否支援 Azure 活動記錄?

Azure NetApp Files 是 Azure 原生服務。 對 Azure NetApp Files 執行的所有 PUT、POST 和 DELETE API 都有記錄。 例如,記錄會顯示誰建立快照集、誰修改磁碟區等活動。

如需 API 作業的完整清單,請參閱 Azure NetApp Files REST API

我是否可以對 Azure NetApp Files 使用 Azure 原則?

是,您可以建立自訂 Azure 原則

不過,您無法在 Azure NetApp Files 介面上建立 Azure 原則 (自訂命名原則)。 請參閱適用於 Azure NetApp Files 網路方案的指導方針

當我刪除 Azure NetApp Files 磁碟區時,是否會安全地刪除資料?

刪除 Azure NetApp Files 磁碟區是以程式設計方式執行,而且立即生效。 刪除作業包括刪除用來加密待用資料的金鑰。 成功執行刪除作業之後 (透過 Azure 入口網站和 API 等介面),無論如何都無法復原已刪除的磁碟區。

Active Directory 連接器認證如何儲存在 Azure NetApp Files 服務上?

AD 連接器認證以加密格式儲存在 Azure NetApp Files 控制平面資料庫中。 使用的加密演算法是 AES-256 (單向)。

下一步