Szyfrowanie danych w spoczynku w usłudze Azure Stack Hub
Usługa Azure Stack Hub chroni dane użytkownika i infrastrukturalne na poziomie podsystemu pamięci przy użyciu szyfrowania danych w stanie spoczynku. Domyślnie podsystem magazynowania usługi Azure Stack Hub jest szyfrowany przy użyciu funkcji BitLocker. Systemy wdrożone przed wydaniem 2002 r. używają funkcji BitLocker z 128-bitowym szyfrowaniem AES; systemy wdrożone od wersji 2002 lub nowszej używają funkcji BitLocker z szyfrowaniem AES-256-bitowym. Klucze funkcji BitLocker są utrwalane w wewnętrznym magazynie tajemnic.
Szyfrowanie danych magazynowanych jest typowym wymaganiem dla wielu głównych standardów zgodności (na przykład PCI-DSS, FedRAMP, HIPAA). Usługa Azure Stack Hub umożliwia spełnienie tych wymagań bez konieczności dodatkowej pracy ani konfiguracji. Aby uzyskać więcej informacji na temat sposobu, w jaki usługa Azure Stack Hub pomaga spełnić standardy zgodności, zobacz Portal zaufania usług firmy Microsoft.
Notatka
Szyfrowanie danych magazynowanych chroni dane przed uzyskaniem dostępu przez osobę fizycznie, która ukradła jeden lub więcej dysków twardych. Szyfrowanie danych magazynowanych nie chroni przed przechwyceniem danych za pośrednictwem sieci (przesyłanych danych), aktualnie używanych danych (danych w pamięci) lub, ogólnie rzecz biorąc, danych eksfiltrowanych podczas uruchamiania systemu.
Pobieranie kluczy odzyskiwania funkcji BitLocker
Klucze funkcji BitLocker usługi Azure Stack Hub dla danych magazynowanych są zarządzane wewnętrznie. Nie musisz udostępniać ich na potrzeby zwykłych operacji ani podczas uruchamiania systemu. Jednak scenariusze wsparcia mogą wymagać użycia kluczy odzyskiwania BitLocker do ponownego uruchomienia systemu.
Ostrzeżenie
Pobierz klucze odzyskiwania funkcji BitLocker i zapisz je w bezpiecznej lokalizacji poza usługą Azure Stack Hub. Brak kluczy odzyskiwania w niektórych scenariuszach pomocy technicznej może spowodować utratę danych i wymagać przywrócenia systemu z obrazu kopii zapasowej.
Pobieranie kluczy odzyskiwania BitLocker wymaga dostępu do uprzywilejowanego punktu końcowego (PEP). W sesji PEP uruchom polecenie cmdlet Get-AzsRecoveryKeys.
##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw
Parametry polecenia cmdlet Get-AzsRecoveryKeys:
Parametr | Opis | Typ | Wymagane |
---|---|---|---|
nieprzetworzone | Zwraca mapowanie danych między kluczem odzyskiwania, nazwą komputera a identyfikatorami haseł każdego zaszyfrowanego woluminu. | Przełącznik | Nie, ale zalecane |
Rozwiązywanie problemów
W skrajnych okolicznościach żądanie odblokowania funkcji BitLocker może zakończyć się niepowodzeniem, co spowoduje, że określony wolumin nie zostanie uruchomiony. W zależności od dostępności niektórych składników architektury ten błąd może spowodować przestój i potencjalną utratę danych, jeśli nie masz kluczy odzyskiwania funkcji BitLocker.
Ostrzeżenie
Pobierz klucze odzyskiwania funkcji BitLocker i zapisz je w bezpiecznej lokalizacji poza usługą Azure Stack Hub. Brak kluczy odzyskiwania w niektórych scenariuszach pomocy technicznej może spowodować utratę danych i wymagać przywrócenia systemu z obrazu kopii zapasowej.
Jeśli podejrzewasz, że w systemie występują problemy z funkcją BitLocker, takie jak niepowodzenie uruchamiania usługi Azure Stack Hub, skontaktuj się z pomocą techniczną. Obsługa wymaga Twoich kluczy odzyskiwania funkcji BitLocker. Większość problemów związanych z funkcją BitLocker można rozwiązać za pomocą operacji FRU dla tej konkretnej maszyny wirtualnej/hosta/woluminu. W innych przypadkach można wykonać procedurę ręcznego odblokowywania przy użyciu kluczy odzyskiwania funkcji BitLocker. Jeśli klucze odzyskiwania funkcji BitLocker nie są dostępne, jedyną opcją jest przywrócenie z obrazu kopii zapasowej. W zależności od tego, kiedy wykonano ostatnią kopię zapasową, może wystąpić utrata danych.
Następne kroki
- dowiedz się więcej o zabezpieczeniach usługi Azure Stack Hub.
- Aby uzyskać więcej informacji na temat ochrony woluminów CSV przez funkcję BitLocker, zobacz , jak chronić udostępnione woluminy klastra i sieci magazynowania przy użyciu BitLocker.