Nejčastější dotazy k zabezpečení pro Azure NetApp Files
Tento článek odpovídá na nejčastější dotazy týkající se zabezpečení služby Azure NetApp Files.
Je možné síťový provoz mezi virtuálním počítačem Azure a úložištěm zašifrovat?
Datový provoz Azure NetApp Files je ze své podstaty zabezpečený, protože neposkytuje veřejný koncový bod a přenos dat zůstává v rámci virtuální sítě vlastněné zákazníkem. Data v testovacím prostředí nejsou ve výchozím nastavení šifrovaná. Přenosy dat z virtuálního počítače Azure (s klientem NFS nebo SMB) do Služby Azure NetApp Files jsou ale stejně zabezpečené jako všechny ostatní přenosy mezi virtuálními počítači Azure.
Protokol NFSv3 neposkytuje podporu šifrování, takže tato data v letu nejde zašifrovat. Volitelně ale můžete povolit šifrování NFSv4.1 a SMB3 v letu. Přenos dat mezi klienty NFSv4.1 a svazky Azure NetApp Files je možné šifrovat pomocí protokolu Kerberos s šifrováním AES-256. Podrobnosti najdete v tématu Konfigurace šifrování Kerberos NFSv4.1 pro Azure NetApp Files . Přenos dat mezi klienty SMB3 a svazky Azure NetApp Files je možné šifrovat pomocí algoritmu AES-CCM v protokolu SMB 3.0 a algoritmuS AES-GCM u připojení SMB 3.1.1. Podrobnosti najdete v tématu Vytvoření svazku SMB pro Azure NetApp Files .
Je možné úložiště šifrovat v klidovém stavu?
Všechny svazky Azure NetApp Files se šifrují pomocí standardu FIPS 140-2. Zjistěte , jak se spravují šifrovací klíče.
Je provoz replikace mezi oblastmi a replikací mezi zónami šifrovaný?
Azure NetApp Files mezi oblastmi a replikací mezi zónami používá šifrování AES-256 GCM protokolu TLS 1.2 AES-256 k šifrování všech dat přenášených mezi zdrojovým svazkem a cílovým svazkem. Toto šifrování je kromě šifrování Azure MACSec, které je ve výchozím nastavení zapnuté pro veškerý provoz Azure, včetně azure NetApp Files mezi oblastmi a replikací mezi zónami.
Jak se spravují šifrovací klíče?
Ve výchozím nastavení se správa klíčů pro Službu NetApp Files zpracovává pomocí klíčů spravovaných platformou. Pro každý svazek se vygeneruje jedinečný šifrovací klíč dat XTS-AES-256. Hierarchie šifrovacích klíčů slouží k šifrování a ochraně všech klíčů svazků. Tyto šifrovací klíče se nikdy nezobrazují ani neoznamují v nezašifrované podobě. Když odstraníte svazek, Služba Azure NetApp Files okamžitě odstraní šifrovací klíče svazku.
Alternativně je možné použít klíče spravované zákazníkem pro šifrování svazků Azure NetApp Files, kde se klíče ukládají ve službě Azure Key Vault. Pomocí klíčů spravovaných zákazníkem můžete plně spravovat vztah mezi životním cyklem klíče, oprávněními použití klíče a operacemi auditování klíčů. Tato funkce je obecně dostupná (GA) v podporovaných oblastech. Šifrování svazků Azure NetApp Files s klíči spravovanými zákazníkem se spravovaným modulem hardwarového zabezpečení je rozšířením této funkce, které umožňuje ukládat šifrovací klíče do bezpečnějšího HSM FIPS 140–2 úrovně 3 místo služby FIPS 140-2 Level 1 nebo Level 2, kterou používá Azure Key Vault.
Azure NetApp Files podporuje možnost přesouvat existující svazky pomocí klíčů spravovaných platformou na klíče spravované zákazníkem. Po dokončení přechodu se nemůžete vrátit k klíčům spravovaným platformou. Další informace najdete v tématu Přechod svazku Azure NetApp Files na klíče spravované zákazníkem.
Můžu nakonfigurovat pravidla zásad exportu systému souborů NFS pro řízení přístupu k cíli připojení služby Azure NetApp Files?
Ano, v jedné zásadě exportu NFS můžete nakonfigurovat až pět pravidel.
Můžu se službou Azure NetApp Files používat řízení přístupu na základě role (RBAC)?
Ano, Azure NetApp Files podporuje funkce Azure RBAC. Společně s předdefinovanými rolemi Azure můžete vytvářet vlastní role pro Azure NetApp Files.
Úplný seznam oprávnění Azure NetApp Files najdete v tématu Operace poskytovatele prostředků Azure pro Microsoft.NetApp
.
Podporují se protokoly aktivit Azure ve službě Azure NetApp Files?
Azure NetApp Files je nativní služba Azure. Protokolují se všechna rozhraní PUT, POST a DELETE API pro Službu NetApp Files. Protokoly například zobrazují aktivity, například kdo vytvořil snímek, kdo změnil svazek atd.
Úplný seznam operací rozhraní API najdete v tématu Azure NetApp Files REST API.
Můžu se službou Azure NetApp Files používat zásady Azure?
Ano, můžete vytvořit vlastní zásady Azure.
V rozhraní Azure NetApp Files ale nemůžete vytvářet zásady Azure (vlastní zásady pojmenování). Viz Pokyny pro plánování sítě Azure NetApp Files.
Když odstraním svazek Služby Azure NetApp Files, odstraní se data bezpečně?
Odstranění svazku Azure NetApp Files se provádí programově s okamžitým účinkem. Operace odstranění zahrnuje odstranění klíčů používaných k šifrování neaktivních uložených dat. Po úspěšném spuštění operace odstranění není k dispozici žádná možnost obnovení odstraněného svazku (prostřednictvím rozhraní, jako je Azure Portal a rozhraní API).)
Jak jsou přihlašovací údaje konektoru služby Active Directory uložené ve službě Azure NetApp Files?
Přihlašovací údaje konektoru AD se ukládají v databázi řídicí roviny služby Azure NetApp Files v šifrované podobě. Použitý šifrovací algoritmus je AES-256 (jednosměrný).
Další kroky
- Jak vytvořit žádost o podporu Azure
- Nejčastější dotazy k sítím
- Nejčastější dotazy k výkonu
- Nejčastější dotazy k systému souborů NFS
- Nejčastější dotazy k protokolu SMB
- Nejčastější dotazy ke správě kapacity
- Nejčastější dotazy k migraci a ochraně dat
- Nejčastější dotazy k zálohování služby Azure NetApp Files
- Nejčastější dotazy k odolnosti aplikací
- Nejčastější dotazy k integraci