Versleuteling van data-at-rest in Azure Stack Hub
Azure Stack Hub beschermt gebruikers- en infrastructuurgegevens op het niveau van het opslagsubsysteem met behulp van versleuteling in rust. Standaard wordt Azure Stack Hub opslagsubsysteem van de Azure Stack Hub met BitLocker versleuteld. Systemen die vóór release 2002 zijn geïmplementeerd, gebruiken BitLocker met 128-bits AES-versleuteling; -systemen die vanaf 2002 of hoger zijn geïmplementeerd, gebruiken BitLocker met AES-256-bits versleuteling. BitLocker-sleutels worden bewaard in een intern geheim opslag.
Data-at-rest-versleuteling is een algemene vereiste voor veel van de belangrijkste nalevingsstandaarden (bijvoorbeeld PCI-DSS, FedRAMP, HIPAA). Azure Stack Hub kunt u zonder extra werk of configuraties aan deze vereisten voldoen. Zie de Microsoft Service Trust Portal Azure Stack Hub meer informatie over hoe u voldoet aan de nalevingsstandaarden.
Notitie
Met data-at-rest-versleuteling worden uw gegevens beschermd tegen toegang door iemand die fysiek een of meer harde schijven beveiligen. Versleuteling van data-at-rest biedt geen bescherming tegen gegevens die worden onderschept via het netwerk (gegevens in transit), gegevens die momenteel worden gebruikt (gegevens in het geheugen) of, meer in het algemeen, gegevens die worden geexfiltreerd terwijl het systeem actief is.
BitLocker-herstelsleutels ophalen
Azure Stack Hub BitLocker-sleutels voor data-at-rest worden intern beheerd. U hoeft ze niet op te geven voor normale bewerkingen of tijdens het opstarten van het systeem. Ondersteuningsscenario's kunnen echter BitLocker-herstelsleutels vereisen om het systeem online te brengen.
Waarschuwing
Haal uw BitLocker-herstelsleutels op en sla ze op een veilige locatie buiten Azure Stack Hub. Het niet hebben van de herstelsleutels tijdens bepaalde ondersteuningsscenario's kan leiden tot gegevensverlies en vereist een systeemherstel vanuit een back-upinstallatiekopie.
Voor het ophalen van de BitLocker-herstelsleutels is toegang tot het bevoegde eindpunt (PEP) vereist. Voer vanuit een PEP-sessie de Get-AzsRecoveryKeys cmdlet uit.
##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw
Parameters voor de cmdlet Get-AzsRecoveryKeys :
| Parameter | Beschrijving | Type | Vereist |
|---|---|---|---|
| Raw | Retourneert gegevenstoewijzing tussen de herstelsleutel, computernaam en wachtwoord-id('s) van elk versleuteld volume. | Switch | Nee, maar aanbevolen |
Problemen oplossen
In extreme omstandigheden kan een BitLocker-ontgrendelingsaanvraag mislukken, waardoor een specifiek volume niet kan worden opgestart. Afhankelijk van de beschikbaarheid van sommige onderdelen van de architectuur, kan deze fout leiden tot downtime en mogelijk gegevensverlies als u uw BitLocker-herstelsleutels niet hebt.
Waarschuwing
Haal uw BitLocker-herstelsleutels op en sla ze op een veilige locatie buiten Azure Stack Hub. Het niet hebben van de herstelsleutels tijdens bepaalde ondersteuningsscenario's kan leiden tot gegevensverlies en vereist een systeemherstel vanuit een back-upinstallatiekopie.
Als u vermoedt dat uw systeem problemen ondervindt met BitLocker, zoals Azure Stack Hub kan worden starten, neem dan contact op met de ondersteuning. Ondersteuning vereist uw BitLocker-herstelsleutels. Het merendeel van de aan BitLocker gerelateerde problemen kan worden opgelost met een FRU-bewerking voor die specifieke VM/host/volume. In de andere gevallen kan een handmatige ontgrendelingsprocedure met behulp van BitLocker-herstelsleutels worden uitgevoerd. Als BitLocker-herstelsleutels niet beschikbaar zijn, is de enige optie om te herstellen vanuit een back-upkopie. Afhankelijk van wanneer de laatste back-up is gemaakt, kan er gegevensverlies zijn.
Volgende stappen
- Meer informatie over Azure Stack Hub beveiliging.
- Zie Gedeelde clustervolumes en Storage Area Networks beveiligen met BitLocker voor meer informatie over de beveiliging van CSV's met BitLocker.