Enkripsi data tidak aktif di Azure Stack Hub

Azure Stack Hub melindungi data pengguna dan infrastruktur di tingkat subsistem penyimpanan menggunakan enkripsi saat tidak aktif. Secara default, subsistem penyimpanan Azure Stack Hub dienkripsi menggunakan BitLocker. Sistem yang disebarkan sebelum rilis 2002 menggunakan BitLocker dengan enkripsi AES 128-bit; sistem yang disebarkan mulai rilis 2002, atau yang lebih baru, menggunakan BitLocker dengan enkripsi AES-256 bit. Kunci BitLocker disimpan di penyimpanan rahasia internal.

Enkripsi data tidak aktif adalah persyaratan umum untuk banyak standar kepatuhan utama (misalnya, PCI-DSS, FedRAMP, HIPAA). Azure Stack Hub memungkinkan Anda memenuhi persyaratan tersebut tanpa memerlukan pekerjaan atau konfigurasi tambahan. Untuk informasi selengkapnya tentang cara Azure Stack Hub membantu Anda memenuhi standar kepatuhan, lihat Portal Kepercayaan Layanan Microsoft.

Catatan

Enkripsi data tidak aktif melindungi data Anda agar tidak diakses oleh seseorang yang secara fisik mencuri satu atau lebih hard drive. Enkripsi data tidak aktif tidak melindungi data dari penghentian melalui jaringan (data dalam perjalanan), data yang saat ini digunakan (data dalam memori), atau, lebih umum, data yang dieksfiltrasi saat sistem sedang berjalan.

Mengambil kunci pemulihan BitLocker

Kunci BitLocker Azure Stack Hub untuk data tidak aktif dikelola secara internal. Anda tidak diharuskan menyediakannya untuk operasi rutin atau selama startup sistem. Namun, skenario dukungan mungkin mengharuskan kunci pemulihan BitLocker untuk membuat sistem menjadi online.

Peringatan

Ambil kunci pemulihan BitLocker Anda dan simpan di lokasi yang aman di luar Azure Stack Hub. Tidak memiliki kunci pemulihan selama skenario dukungan tertentu dapat mengakibatkan kehilangan data dan memerlukan pemulihan sistem dari gambar cadangan.

Mengambil kunci pemulihan BitLocker memerlukan akses ke titik akhir dengan hak istimewa (PEP). Dari sesi PEP, jalankan cmdlet Get-AzsRecoveryKeys.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Parameter untuk cmdlet Get-AzsRecoveryKeys:

Parameter	Deskripsi	Jenis	Diperlukan
raw	Mengembalikan pemetaan data antara kunci pemulihan, nama komputer, dan id kata sandi dari setiap volume terenkripsi.	Sakelar	Tidak, tetapi direkomendasikan

Memecahkan masalah

Dalam keadaan ekstrim, permintaan buka kunci BitLocker bisa gagal sehingga volume tertentu tidak di-boot. Tergantung pada ketersediaan beberapa komponen arsitektur, kegagalan ini dapat mengakibatkan downtime dan kemungkinan kehilangan data jika Anda tidak memiliki kunci pemulihan BitLocker.

Peringatan

Ambil kunci pemulihan BitLocker Anda dan simpan di lokasi yang aman di luar Azure Stack Hub. Tidak memiliki kunci pemulihan selama skenario dukungan tertentu dapat mengakibatkan kehilangan data dan memerlukan pemulihan sistem dari gambar cadangan.

Jika Anda mencurigai bahwa sistem Anda mengalami masalah dengan BitLocker, seperti Azure Stack Hub gagal dimulai, hubungi dukungan. Dukungan memerlukan kunci pemulihan BitLocker Anda. Sebagian besar masalah terkait BitLocker dapat diselesaikan dengan operasi FRU untuk VM/host/volume tersebut. Untuk kasus lain, prosedur pembukaan kunci manual menggunakan kunci pemulihan BitLocker dapat dilakukan. Jika kunci pemulihan BitLocker tidak tersedia, satu-satunya opsi adalah memulihkan dari gambar cadangan. Tergantung pada kapan pencadangan terakhir dilakukan, Anda dapat mengalami kehilangan data.

Langkah berikutnya

• Pelajari lebih lanjut mengenai keamanan Azure Stack Hub.
• Untuk informasi selengkapnya tentang cara BitLocker melindungi CSV, lihat melindungi volume bersama kluster dan jaringan area penyimpanan dengan BitLocker.