Versleuteling van data-at-rest in Azure Stack Hub

Azure Stack Hub beveiligt gebruikers- en infrastructuurgegevens op het niveau van het opslagsubsysteem met behulp van versleuteling-at-rest. Standaard wordt het opslagsubsysteem van Azure Stack Hub versleuteld met BitLocker. Systemen die vóór release 2002 zijn geïmplementeerd, maken gebruik van BitLocker met 128-bits AES-versleuteling; systemen die vanaf 2002 of hoger zijn geïmplementeerd, gebruiken BitLocker met AES-256-bits versleuteling. BitLocker-sleutels blijven behouden in een intern geheimarchief.

Data-at-rest-versleuteling is een algemene vereiste voor veel van de belangrijkste nalevingsstandaarden (bijvoorbeeld PCI-DSS, FedRAMP, HIPAA). Met Azure Stack Hub kunt u aan deze vereisten voldoen zonder extra werk of configuraties. Zie de Microsoft Service Trust Portal voor meer informatie over hoe Azure Stack Hub u helpt te voldoen aan nalevingsstandaarden.

Notitie

Data-at-rest-versleuteling beschermt uw gegevens tegen toegang door iemand die een of meer harde schijven fysiek heeft gestolen. Data-at-rest-versleuteling biedt geen bescherming tegen gegevens die worden onderschept via het netwerk (gegevens in overdracht), gegevens die momenteel worden gebruikt (gegevens in het geheugen) of, meer in het algemeen, gegevens die worden geëxfiltreerd terwijl het systeem actief is.

BitLocker-herstelsleutels ophalen

Azure Stack Hub BitLocker-sleutels voor data-at-rest worden intern beheerd. U hoeft ze niet op te geven voor normale bewerkingen of tijdens het opstarten van het systeem. Voor ondersteuningsscenario's is het echter mogelijk dat BitLocker-herstelsleutels nodig zijn om het systeem online te brengen.

Waarschuwing

Haal uw BitLocker-herstelsleutels op en sla ze op een veilige locatie buiten Azure Stack Hub op. Het niet hebben van de herstelsleutels tijdens bepaalde ondersteuningsscenario's kan leiden tot gegevensverlies en een systeemherstel vanuit een back-upinstallatiekopieën vereisen.

Voor het ophalen van de BitLocker-herstelsleutels is toegang tot het bevoegde eindpunt (PEP) vereist. Voer vanuit een PEP-sessie de cmdlet Get-AzsRecoveryKeys uit.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Parameters voor de cmdlet Get-AzsRecoveryKeys :

Parameter	Beschrijving	Type	Vereist
Raw	Retourneert gegevenstoewijzing tussen herstelsleutel, computernaam en wachtwoord-id('s) van elk versleuteld volume.	Switch	Nee, maar aanbevolen

Problemen oplossen

In extreme omstandigheden kan een BitLocker-ontgrendelingsaanvraag mislukken, waardoor een specifiek volume niet kan worden opgestart. Afhankelijk van de beschikbaarheid van sommige onderdelen van de architectuur kan deze fout leiden tot downtime en mogelijk gegevensverlies als u uw BitLocker-herstelsleutels niet hebt.

Waarschuwing

Haal uw BitLocker-herstelsleutels op en sla ze op een veilige locatie buiten Azure Stack Hub op. Het niet hebben van de herstelsleutels tijdens bepaalde ondersteuningsscenario's kan leiden tot gegevensverlies en een systeemherstel vanuit een back-upinstallatiekopieën vereisen.

Als u vermoedt dat uw systeem problemen ondervindt met BitLocker, zoals het starten van Azure Stack Hub, neemt u contact op met de ondersteuning. Voor ondersteuning zijn uw BitLocker-herstelsleutels vereist. De meeste problemen met BitLocker kunnen worden opgelost met een FRU-bewerking voor die specifieke VM/host/volume. Voor de andere gevallen kan een handmatige ontgrendelingsprocedure met BitLocker-herstelsleutels worden uitgevoerd. Als BitLocker-herstelsleutels niet beschikbaar zijn, is de enige optie om te herstellen vanuit een back-upinstallatiekopieën. Afhankelijk van wanneer de laatste back-up is uitgevoerd, kunnen er gegevens verloren gaan.

Volgende stappen

• Meer informatie over Azure Stack Hub-beveiliging.
• Zie Gedeelde clustervolumes en Storage Area Networks beveiligen met BitLocker voor meer informatie over hoe BitLocker CSV's beveiligt.