Azure Stack Hub의 미사용 데이터 암호화
Azure Stack Hub는 미사용 암호화를 사용하여 스토리지 하위 시스템 수준에서 사용자 및 인프라 데이터를 보호합니다. 기본적으로 Azure Stack Hub의 스토리지 하위 시스템은 BitLocker를 사용하여 암호화됩니다. 릴리스 2002 이전에 배포된 시스템은 128비트 AES 암호화와 함께 BitLocker를 사용합니다. 2002 이상부터 배포된 시스템은 AES-256 비트 암호화와 함께 BitLocker를 사용합니다. BitLocker 키는 내부 암호 저장소에 유지됩니다.
미사용 데이터 암호화는 많은 주요 규정 준수 표준(예: PCI-DSS, FedRAMP, HIPAA)에 대한 일반적인 요구 사항입니다. Azure Stack Hub를 사용하면 추가 작업이나 구성 없이 이러한 요구 사항을 충족할 수 있습니다. Azure Stack Hub가 규정 준수 표준을 충족하는 방법에 대한 자세한 내용은 Microsoft 서비스 신뢰 포털을 참조하세요.
참고
미사용 데이터 암호화는 하나 이상의 하드 드라이브를 물리적으로 훔친 사람이 데이터에 액세스하지 않도록 보호합니다. 미사용 데이터 암호화는 네트워크를 통해 가로채는 데이터(전송 중인 데이터), 현재 사용 중인 데이터(메모리의 데이터) 또는 일반적으로 시스템이 가동되고 실행되는 동안 데이터가 유출되는 것을 방지하지 않습니다.
BitLocker 복구 키 검색
미사용 데이터에 대한 Azure Stack Hub BitLocker 키는 내부적으로 관리됩니다. 정기적인 작업이나 시스템 시작 중에 제공할 필요는 없습니다. 그러나 지원 시나리오에서는 시스템을 온라인 상태로 만들기 위해 BitLocker 복구 키가 필요할 수 있습니다.
경고
BitLocker 복구 키를 검색하고 Azure Stack Hub 외부의 안전한 위치에 저장합니다. 특정 지원 시나리오 중에 복구 키가 없으면 데이터가 손실되고 백업 이미지에서 시스템 복원이 필요할 수 있습니다.
BitLocker 복구 키를 검색하려면 PEP( 권한 있는 엔드포인트 )에 액세스해야 합니다. PEP 세션에서 Get-AzsRecoveryKeys cmdlet을 실행합니다.
##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw
Get-AzsRecoveryKeys cmdlet에 대한 매개 변수:
매개 변수 | Description | 형식 | 필수 |
---|---|---|---|
원시 | 암호화된 각 볼륨의 복구 키, 컴퓨터 이름 및 암호 ID 간의 데이터 매핑을 반환합니다. | 스위치 | 아니요,하지만 권장 |
문제 해결
극단적인 상황에서 BitLocker 잠금 해제 요청이 실패하여 특정 볼륨이 부팅되지 않을 수 있습니다. 아키텍처의 일부 구성 요소의 가용성에 따라 BitLocker 복구 키가 없는 경우 이 오류로 인해 가동 중지 시간과 잠재적인 데이터 손실이 발생할 수 있습니다.
경고
BitLocker 복구 키를 검색하고 Azure Stack Hub 외부의 안전한 위치에 저장합니다. 특정 지원 시나리오 중에 복구 키가 없으면 데이터가 손실되고 백업 이미지에서 시스템 복원이 필요할 수 있습니다.
시스템에서 BitLocker에 문제가 있는 것으로 의심되는 경우(예: Azure Stack Hub 시작 실패) 지원팀에 문의하세요. 지원하려면 BitLocker 복구 키가 필요합니다. 대부분의 BitLocker 관련 문제는 해당 특정 VM/호스트/볼륨에 대한 FRU 작업으로 해결할 수 있습니다. 다른 경우에는 BitLocker 복구 키를 사용한 수동 잠금 해제 절차를 수행할 수 있습니다. BitLocker 복구 키를 사용할 수 없는 경우 유일한 옵션은 백업 이미지에서 복원하는 것입니다. 마지막 백업이 완료된 시기에 따라 데이터 손실이 발생할 수 있습니다.
다음 단계
- Azure Stack Hub 보안에 대해 자세히 알아봅니다.
- BitLocker가 CSV를 보호하는 방법에 대한 자세한 내용은 BitLocker를 사용하여 클러스터 공유 볼륨 및 스토리지 영역 네트워크 보호를 참조하세요.