Encriptação de dados em repouso no Azure Stack Hub

O Azure Stack Hub protege os dados do utilizador e da infraestrutura ao nível do subsistema de armazenamento utilizando a encriptação em repouso. Por padrão, o subsistema de armazenamento do Azure Stack Hub é encriptado usando o BitLocker. Os sistemas implantados antes do lançamento de 2002 utilizam o BitLocker com encriptação AES de 128 bits; os sistemas implantados a partir de 2002, ou mais recentes, utilizam o BitLocker com encriptação de bitS-256. As chaves BitLocker persistem numa loja secreta interna.

A encriptação de dados em repouso é um requisito comum para muitas das principais normas de conformidade (por exemplo, PCI-DSS, FedRAMP, HIPAA). O Azure Stack Hub permite-lhe satisfazer esses requisitos sem necessidade de trabalho extra ou configurações. Para obter mais informações sobre como o Azure Stack Hub o ajuda a cumprir os padrões de conformidade, consulte o Portal Microsoft Service Trust.

Nota

A encriptação de dados em repouso protege os seus dados contra o acesso de alguém que roubou fisicamente um ou mais discos rígidos. Os dados em repouso não protegem contra a interceção de dados na rede (dados em trânsito), dados atualmente utilizados (dados na memória) ou, mais em geral, dados que estão a ser exfiltrados enquanto o sistema está em funcionamento.

Recuperar teclas de recuperação bitLocker

As teclas Azure Stack Hub BitLocker para os dados em repouso são geridas internamente. Não é obrigado a fornerá-las para operações regulares ou durante o arranque do sistema. No entanto, os cenários de suporte podem necessitar de chaves de recuperação do BitLocker para colocar o sistema online.

Aviso

Recupere as chaves de recuperação bitLocker e guarde-as num local seguro fora do Azure Stack Hub. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar na perda de dados e exigir a restauração de um sistema a partir de uma imagem de backup.

A recuperação das teclas de recuperação bitLocker requer acesso ao ponto final privilegiado (PEP). A partir de uma sessão pep, executar o Get-AzsRecoveryKeys cmdlet.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Parâmetros para o cmdlet Get-AzsRecoveryKeys:

Parâmetro Descrição Tipo Necessário
cru Retorna o mapeamento de dados entre a chave de recuperação, o nome do computador e o id(s) de cada volume encriptado. Comutador Não, mas recomendado.

Resolver problemas

Em circunstâncias extremas, um pedido de desbloqueio BitLocker pode falhar, resultando num volume específico para não arrancar. Dependendo da disponibilidade de alguns dos componentes da arquitetura, esta falha pode resultar em tempo de inatividade e perda de dados potenciais se não tiver as suas chaves de recuperação BitLocker.

Aviso

Recupere as chaves de recuperação bitLocker e guarde-as num local seguro fora do Azure Stack Hub. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar na perda de dados e exigir a restauração de um sistema a partir de uma imagem de backup.

Se suspeitar que o seu sistema está a ter problemas com o BitLocker, como o Azure Stack Hub não ter iniciado, contacte o suporte. O suporte requer as chaves de recuperação bitLocker. A maioria das questões relacionadas com o BitLocker pode ser resolvida com uma operação FRU para esse VM/anfitrião/volume específico. Para os outros casos, pode ser feito um procedimento manual de desbloqueio utilizando as teclas de recuperação BitLocker. Se as teclas de recuperação do BitLocker não estiverem disponíveis, a única opção é restaurar a partir de uma imagem de reserva. Dependendo da hora da última cópia de segurança, poderá experimentar a perda de dados.

Passos seguintes