Criptografia de dados em repouso no Hub de Azure Stack

O Hub de Azure Stack protege os dados de usuário e de infraestrutura no nível do subsistema de armazenamento usando a criptografia em repouso. Por padrão, Azure Stack subsistema de armazenamento do hub é criptografado usando o BitLocker. Sistemas implantados antes da versão 2002 usam o BitLocker com criptografia AES de 128 bits; os sistemas implantados a partir do 2002 ou mais recente usam o BitLocker com criptografia AES-256 bits. As chaves do BitLocker são mantidas em um repositório de segredos interno.

A criptografia de dados em repouso é um requisito comum para muitos dos principais padrões de conformidade (por exemplo, PCI-DSS, FedRAMP, HIPAA). Azure Stack Hub permite que você atenda a esses requisitos sem nenhum trabalho extra ou configuração necessária. Para obter mais informações sobre como Azure Stack Hub o ajuda a atender aos padrões de conformidade, consulte o portal de confiança do serviço da Microsoft.

Observação

A criptografia de dados em repouso protege seus dados contra acesso por alguém que roubasse fisicamente um ou mais discos rígidos. A criptografia de dados em repouso não protege contra dados que estão sendo interceptados pela rede (dados em trânsito), dados usados atualmente (dados na memória) ou, mais em geral, dados sendo exfiltrated enquanto o sistema está em execução.

Recuperando chaves de recuperação do BitLocker

As chaves do BitLocker do hub de Azure Stack para dados em repouso são gerenciadas internamente. Você não precisa fornecê-las para operações regulares ou durante a inicialização do sistema. No entanto, os cenários de suporte podem exigir chaves de recuperação do BitLocker para colocar o sistema online.

Aviso

Recupere as chaves de recuperação do BitLocker e armazene-as em um local seguro fora do hub de Azure Stack. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar em perda de dados e exigir uma restauração do sistema de uma imagem de backup.

Recuperar as chaves de recuperação do BitLocker requer acesso ao ponto de extremidade privilegiado (PEP). Em uma sessão do PEP, execute o cmdlet Get-AzsRecoveryKeys.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Parâmetros para o cmdlet Get-AzsRecoveryKeys :

Parâmetro Descrição Type Obrigatório
raw Retorna o mapeamento de dados entre a chave de recuperação, o nome do computador e as IDs de senha de cada volume criptografado. Comutador Não, mas recomendado

Solucionar problemas

Em circunstâncias extremas, uma solicitação de desbloqueio do BitLocker pode falhar, resultando em um volume específico para não inicializar. Dependendo da disponibilidade de alguns dos componentes da arquitetura, essa falha poderá resultar em tempo de inatividade e perda de dados em potencial se você não tiver as chaves de recuperação do BitLocker.

Aviso

Recupere as chaves de recuperação do BitLocker e armazene-as em um local seguro fora do hub de Azure Stack. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar em perda de dados e exigir uma restauração do sistema de uma imagem de backup.

Se você suspeitar que o sistema está enfrentando problemas com o BitLocker, como Azure Stack Hub falhando ao iniciar, contate o suporte. O suporte requer as chaves de recuperação do BitLocker. A maioria dos problemas relacionados ao BitLocker pode ser resolvida com uma operação de FRU para VM/host/volume específico. Para os outros casos, um procedimento de desbloqueio manual usando chaves de recuperação do BitLocker pode ser feito. Se as chaves de recuperação do BitLocker não estiverem disponíveis, a única opção será restaurar de uma imagem de backup. Dependendo de quando o último backup foi feito, você poderá enfrentar perda de dados.

Próximas etapas