Criptografia de dados em repouso no Hub de Azure StackData at rest encryption in Azure Stack Hub

O Hub de Azure Stack protege os dados de usuário e de infraestrutura no nível do subsistema de armazenamento usando a criptografia em repouso.Azure Stack Hub protects user and infrastructure data at the storage subsystem level using encryption at rest. Por padrão, Azure Stack subsistema de armazenamento do hub é criptografado usando o BitLocker com a criptografia AES de 128 bits.By default, Azure Stack Hub's storage subsystem is encrypted using BitLocker with 128-bit AES encryption. As chaves do BitLocker são mantidas em um repositório de segredo interno.BitLocker keys are persisted in an internal secret store. No momento da implantação, também é possível configurar o BitLocker para usar a criptografia AES de 256 bits.At deployment time, it is also possible to configure BitLocker to use 256-bit AES encryption.

A criptografia de dados em repouso é um requisito comum para muitos dos principais padrões de conformidade (por exemplo, PCI-DSS, FedRAMP, HIPAA).Data at rest encryption is a common requirement for many of the major compliance standards (for example, PCI-DSS, FedRAMP, HIPAA). Azure Stack Hub permite que você atenda a esses requisitos sem nenhum trabalho extra ou configuração necessária.Azure Stack Hub enables you to meet those requirements with no extra work or configurations required. Para obter mais informações sobre como Azure Stack Hub o ajuda a atender aos padrões de conformidade, consulte o portal de confiança do serviço da Microsoft.For more information on how Azure Stack Hub helps you meet compliance standards, see the Microsoft Service Trust Portal.

Observação

A criptografia de dados em repouso protege seus dados contra acesso por alguém que roubasse fisicamente um ou mais discos rígidos.Data at rest encryption protects your data against being accessed by someone who physically stole one or more hard drives. A criptografia de dados em repouso não protege contra dados que estão sendo interceptados pela rede (dados em trânsito), dados usados atualmente (dados na memória) ou, mais em geral, dados sendo exfiltrated enquanto o sistema está em execução.Data at rest encryption doesn't protect against data being intercepted over the network (data in transit), data currently being used (data in memory), or, more in general, data being exfiltrated while the system is up and running.

Recuperando chaves de recuperação do BitLockerRetrieving BitLocker recovery keys

As chaves do BitLocker do hub de Azure Stack para dados em repouso são gerenciadas internamente.Azure Stack Hub BitLocker keys for data at rest are internally managed. Você não precisa fornecê-las para operações regulares ou durante a inicialização do sistema.You aren't required to provide them for regular operations or during system startup. No entanto, os cenários de suporte podem exigir chaves de recuperação do BitLocker para colocar o sistema online.However, support scenarios may require BitLocker recovery keys to bring the system online.

Aviso

Recupere as chaves de recuperação do BitLocker e armazene-as em um local seguro fora do hub de Azure Stack.Retrieve your BitLocker recovery keys and store them in a secure location outside of Azure Stack Hub. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar em perda de dados e exigir uma restauração do sistema de uma imagem de backup.Not having the recovery keys during certain support scenarios may result in data loss and require a system restore from a backup image.

Recuperar as chaves de recuperação do BitLocker requer acesso ao ponto de extremidade privilegiado (PEP).Retrieving the BitLocker recovery keys requires access to the privileged endpoint (PEP). Em uma sessão do PEP, execute o cmdlet Get-AzsRecoveryKeys.From a PEP session, run the Get-AzsRecoveryKeys cmdlet.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Parâmetros para o cmdlet Get-AzsRecoveryKeys :Parameters for Get-AzsRecoveryKeys cmdlet:

ParâmetroParameter DescriçãoDescription TypeType ObrigatórioRequired
rawraw Retorna o mapeamento de dados entre a chave de recuperação, o nome do computador e as IDs de senha de cada volume criptografado.Returns data mapping between recovery key, computer name, and password id(s) of each encrypted volume. AlternarSwitch Não, mas recomendadoNo, but recommended

Solucionar problemasTroubleshoot issues

Em circunstâncias extremas, uma solicitação de desbloqueio do BitLocker pode falhar, resultando em um volume específico para não inicializar.In extreme circumstances, a BitLocker unlock request could fail resulting in a specific volume to not boot. Dependendo da disponibilidade de alguns dos componentes da arquitetura, essa falha poderá resultar em tempo de inatividade e perda de dados em potencial se você não tiver as chaves de recuperação do BitLocker.Depending on the availability of some of the components of the architecture, this failure could result in downtime and potential data loss if you don't have your BitLocker recovery keys.

Aviso

Recupere as chaves de recuperação do BitLocker e armazene-as em um local seguro fora do hub de Azure Stack.Retrieve your BitLocker recovery keys and store them in a secure location outside of Azure Stack Hub. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar em perda de dados e exigir uma restauração do sistema de uma imagem de backup.Not having the recovery keys during certain support scenarios may result in data loss and require a system restore from a backup image.

Se você suspeitar que o sistema está enfrentando problemas com o BitLocker, como Azure Stack Hub falhando ao iniciar, contate o suporte.If you suspect your system is experiencing issues with BitLocker, such as Azure Stack Hub failing to start, contact support. O suporte requer as chaves de recuperação do BitLocker.Support requires your BitLocker recovery keys. A maioria dos problemas relacionados ao BitLocker pode ser resolvida com uma operação de FRU para VM/host/volume específico.The majority of the BitLocker related issues can be resolved with a FRU operation for that specific VM/host/volume. Para os outros casos, um procedimento de desbloqueio manual usando chaves de recuperação do BitLocker pode ser feito.For the other cases, a manual unlocking procedure using BitLocker recovery keys can be done. Se as chaves de recuperação do BitLocker não estiverem disponíveis, a única opção será restaurar de uma imagem de backup.If BitLocker recovery keys aren't available, the only option is to restore from a backup image. Dependendo de quando o último backup foi feito, você poderá enfrentar perda de dados.Depending on when the last backup was done, you may experience data loss.

Próximas etapasNext steps