Condividi tramite

Crittografia dei dati inattivi nell'hub di Azure Stack

  • Articolo

L'hub di Azure Stack protegge i dati utente e dell'infrastruttura a livello di sottosistema di archiviazione usando la crittografia dei dati inattivi. Per impostazione predefinita, il sottosistema di archiviazione dell'hub di Azure Stack viene crittografato con BitLocker. I sistemi distribuiti prima della versione 2002 usano BitLocker con crittografia AES a 128 bit; i sistemi distribuiti a partire dalla versione 2002 o successiva usano BitLocker con crittografia AES a 256 bit. Le chiavi BitLocker vengono mantenute in un archivio segreto interno.

La crittografia dei dati inattivi è un requisito comune per molti dei principali standard di conformità (ad esempio, PCI-DSS, FedRAMP, HIPAA). L'hub di Azure Stack consente di soddisfare tali requisiti senza operazioni aggiuntive o configurazioni necessarie. Per altre informazioni su come l'hub di Azure Stack consente di soddisfare gli standard di conformità, vedere Microsoft Service Trust Portal.

Nota

La crittografia dei dati inattivi protegge i dati dall'accesso da parte di un utente che ha rubato fisicamente uno o più dischi rigidi. La crittografia dei dati inattivi non protegge dai dati intercettati in rete (dati in transito), dai dati attualmente in uso (dati in memoria) o, più in generale, dai dati esfiltrati mentre il sistema è operativo.

Recupero delle chiavi di ripristino di BitLocker

Le chiavi BitLocker dell'hub di Azure Stack per i dati inattivi vengono gestite internamente. Non è necessario specificarli per le normali operazioni o durante l'avvio del sistema. Tuttavia, gli scenari di supporto potrebbero richiedere chiavi di ripristino bitLocker per portare online il sistema.

Avvertimento

Recuperare le chiavi di ripristino di BitLocker e archiviarle in una posizione sicura all'esterno dell'hub di Azure Stack. La mancata presenza delle chiavi di ripristino durante determinati scenari di supporto può comportare la perdita di dati e richiedere un ripristino di sistema da un'immagine di backup.

Il recupero delle chiavi di ripristino di BitLocker richiede l'accesso all'endpoint con privilegi (PEP). Da una sessione PEP eseguire il cmdlet Get-AzsRecoveryKeys.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Parametri per il cmdlet Get-AzsRecoveryKeys:

Parametro Descrizione Digitare Obbligatorio
non elaborato Restituisce il mapping dei dati tra la chiave di ripristino, il nome del computer e l'ID della password di ciascun volume crittografato. Interruttore No, ma consigliato

Risolvere i problemi

In circostanze estreme, una richiesta di sblocco di BitLocker potrebbe non riuscire con conseguente mancato avvio di un volume specifico. A seconda della disponibilità di alcuni componenti dell'architettura, questo errore potrebbe causare tempi di inattività e potenziali perdite di dati se non si dispone delle chiavi di ripristino di BitLocker.

Avvertimento

Recuperare le chiavi di ripristino di BitLocker e archiviarle in una posizione sicura all'esterno dell'hub di Azure Stack. La mancata presenza delle chiavi di ripristino durante determinati scenari di supporto può comportare la perdita di dati e richiedere un ripristino di sistema da un'immagine di backup.

Se si sospetta che il sistema stia riscontrando problemi con BitLocker, ad esempio l'hub di Azure Stack non riesce ad avviare, contattare il supporto tecnico. Il supporto richiede le chiavi di ripristino di BitLocker. La maggior parte dei problemi correlati a BitLocker può essere risolta con un'operazione FRU per tale macchina virtuale/host/volume specifico. Per gli altri casi, è possibile eseguire una procedura di sblocco manuale con le chiavi di ripristino di BitLocker. Se le chiavi di ripristino di BitLocker non sono disponibili, l'unica opzione consiste nel ripristinare da un'immagine di backup. A seconda del momento in cui è stato eseguito l'ultimo backup, è possibile che si verifichi una perdita di dati.

Passaggi successivi