Шифрование неактивных данных в Azure Stack Hub

Azure Stack Hub защищает данные инфраструктуры и пользователя на уровне подсистемы хранения с помощью шифрования неактивных данных. По умолчанию подсистема хранения Azure Stack Hub шифруется с помощью BitLocker. Системы, развернутые до выпуска 2002, используют BitLocker с 128-разрядным шифрованием AES; Системы, развернутые с версии 2002 или более поздней версии, используют BitLocker с шифрованием AES-256. Ключи BitLocker сохраняются во внутреннем хранилище секретов.

Шифрование неактивных данных является общим требованием для множества стандартов соответствия (например, PCI-DSS, FedRAMP, HIPAA). Azure Stack Hub позволяет обеспечить соответствие этим требованиям без дополнительных усилий и настройки. Дополнительные сведения о том, как Azure Stack Hub помогает соблюдать стандарты соответствия, см. на портале служб защиты данных (Майкрософт).

Примечание

Шифрование неактивных данных защищает данные от несанкционированного доступа теми, кто физически украдет один или несколько жестких дисков. Однако эта технология не защищает от перехвата данных по сети (передаваемые данные), используемых в настоящее время данных (данные в памяти) или (в общих чертах) данных, которые были извлечены во время работы системы.

Получение ключей восстановления BitLocker

Управление ключами BitLocker Azure Stack Hub для неактивных данных выполняется внутренне. Вы не должны предоставлять их для выполнения обычных операций или во время запуска системы. Тем не менее в сценариях поддержки могут потребоваться ключи восстановления BitLocker, чтобы подключить систему к сети.

Предупреждение

Получите ключи восстановления BitLocker и храните их в надежном месте за пределами Azure Stack Hub. Отсутствие ключей восстановления в рамках некоторых сценариев поддержки может привести к потере данных и к необходимости восстановить систему из образа резервной копии.

Для получения ключей восстановления BitLocker требуется доступ к привилегированной конечной точке (PEP). Из сеанса PEP выполните командлет Get-AzsRecoveryKeys.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Параметры командлета Get-AzsRecoveryKeys :

Параметр	Описание	Тип	Обязательно
raw (Без форматирования)	Возвращает сопоставление данных между ключом восстановления, именем компьютера и идентификаторами пароля каждого зашифрованного тома.	Коммутатор	Нет, но рекомендуется

Устранение неполадок

В экстренных ситуациях может произойти сбой запроса на разблокировку BitLocker, в результате чего определенный том не загрузится. В зависимости от доступности некоторых компонентов архитектуры, этот сбой может привести к простою и потенциальной потере данных, если у вас нет ключей восстановления BitLocker.

Предупреждение

Получите ключи восстановления BitLocker и храните их в надежном месте за пределами Azure Stack Hub. Отсутствие ключей восстановления в рамках некоторых сценариев поддержки может привести к потере данных и к необходимости восстановить систему из образа резервной копии.

Если вы подозреваете, что в системе возникают проблемы с BitLocker, например, не удается запустить Azure Stack Hub, обратитесь в службу поддержки. Службе поддержки требуются ваши ключи восстановления BitLocker. Большинство проблем, связанных с BitLocker, можно устранить путем замены элемента в условиях эксплуатации для этой конкретной виртуальной машины, узла или тома. В остальных случаях можно вручную выполнить процедуру разблокировки с использованием ключей восстановления BitLocker. Если ключи восстановления BitLocker недоступны, единственным вариантом является восстановление из образа резервной копии. В зависимости от того, когда было выполнено последнее резервное копирование, вы можете столкнуться с потерей данных.

Дальнейшие действия

• Дополнительные сведения о безопасности Azure Stack Hub.
• Дополнительные сведения о том, как BitLocker защищает CSV-файлы, см. в статье Protecting cluster shared volumes and storage area networks with BitLocker (Защита общих томов кластера и сетей хранения данных с помощью BitLocker).