Crittografia dei dati inattivi nell'hub di Azure Stack
L'hub di Azure Stack protegge i dati dell'utente e dell'infrastruttura a livello di sottosistema di archiviazione usando la crittografia inattivi. Per impostazione predefinita, il sottosistema di archiviazione dell'hub di Azure Stack viene crittografato con BitLocker. I sistemi distribuiti prima della versione 2002 usano BitLocker con crittografia AES a 128 bit; i sistemi distribuiti a partire da 2002 o versioni successive, usano BitLocker con crittografia AES-256 bit. Il salvataggio permanente delle chiavi BitLocker viene eseguito in un archivio segreto interno.
La crittografia dei dati inattivi è un requisito comune per molti dei principali standard di conformità, ad esempio PCI-DSS, FedRAMP, HIPAA. L'hub di Azure Stack consente di soddisfare tali requisiti senza operazioni o configurazioni aggiuntive necessarie. Per altre informazioni sul modo in cui l'hub di Azure Stack consente di soddisfare gli standard di conformità, vedere Microsoft Service Trust Portal.
Nota
I dati inattivi proteggono i dati dall'accesso da parte di qualcuno che ha rubato fisicamente uno o più dischi rigidi. La crittografia dei dati inattivi non protegge dai dati intercettati sulla rete (dati in transito), i dati attualmente usati (dati in memoria) o, in generale, i dati vengono esfiltrati mentre il sistema è in esecuzione.
Recupero delle chiavi di ripristino di BitLocker
Le chiavi bitlocker dell'hub di Azure Stack per i dati inattivi vengono gestite internamente. Non è necessario specificarli per operazioni regolari o durante l'avvio del sistema. Tuttavia, gli scenari di supporto possono richiedere chiavi di ripristino di BitLocker per portare il sistema online.
Avviso
Recuperare le chiavi di ripristino di BitLocker e archiviarle in una posizione sicura all'esterno dell'hub di Azure Stack. Non avere le chiavi di ripristino durante determinati scenari di supporto possono causare la perdita di dati e richiedere un ripristino di sistema da un'immagine di backup.
Il recupero delle chiavi di ripristino di BitLocker richiede l'accesso all'endpoint con privilegi (PEP). Da una sessione PEP eseguire il cmdlet Get-AzsRecoveryKeys.
##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw
Parametri per il cmdlet Get-AzsRecoveryKeys :
Parametro | Descrizione | Tipo | Necessario |
---|---|---|---|
raw | Restituisce il mapping dei dati tra chiave di ripristino, nome computer e ID password di ogni volume crittografato. | Commutatore | No, ma consigliato |
Risolvere i problemi
In circostanze estreme, una richiesta di sblocco di BitLocker potrebbe non riuscire a generare un volume specifico per non avviare. A seconda della disponibilità di alcuni componenti dell'architettura, questo errore potrebbe causare tempi di inattività e potenziali perdite di dati se non si dispone delle chiavi di ripristino di BitLocker.
Avviso
Recuperare le chiavi di ripristino di BitLocker e archiviarle in una posizione sicura all'esterno dell'hub di Azure Stack. Non avere le chiavi di ripristino durante determinati scenari di supporto possono causare la perdita di dati e richiedere un ripristino di sistema da un'immagine di backup.
Se si sospetta che il sistema verifichi problemi con BitLocker, ad esempio l'hub di Azure Stack non riesce ad avviare, contattare il supporto tecnico. Il supporto richiede le chiavi di ripristino di BitLocker. La maggior parte dei problemi correlati a BitLocker può essere risolta con un'operazione FRU per tale macchina virtuale/host/volume specifico. Per gli altri casi, è possibile eseguire una procedura di sblocco manuale usando le chiavi di ripristino di BitLocker. Se le chiavi di ripristino di BitLocker non sono disponibili, l'unica opzione consiste nel ripristinare da un'immagine di backup. A seconda dell'ultima esecuzione del backup, è possibile che si verifichi una perdita di dati.
Passaggi successivi
- Altre informazioni sulla sicurezza dell'hub di Azure Stack.
- Per altre informazioni su come BitLocker protegge le macchine virtuali, vedere proteggere i volumi condivisi del cluster e le reti di area di archiviazione con BitLocker.