Udostępnij za pośrednictwem

Szyfrowanie danych magazynowanych w usłudze Azure Stack Hub

  • Artykuł

Usługa Azure Stack Hub chroni dane użytkowników i infrastruktury na poziomie podsystemu magazynowania przy użyciu szyfrowania magazynowanych. Domyślnie podsystem magazynowania usługi Azure Stack Hub jest szyfrowany przy użyciu funkcji BitLocker. Systemy wdrożone przed wydaniem 2002 r. używają funkcji BitLocker z 128-bitowym szyfrowaniem AES; systemy wdrożone od wersji 2002 lub nowszej używają funkcji BitLocker z szyfrowaniem AES-256-bitowym. Klucze funkcji BitLocker są utrwalane w wewnętrznym magazynie wpisów tajnych.

Szyfrowanie danych magazynowanych jest typowym wymaganiem dla wielu głównych standardów zgodności (na przykład PCI-DSS, FedRAMP, HIPAA). Usługa Azure Stack Hub umożliwia spełnienie tych wymagań bez konieczności dodatkowej pracy ani konfiguracji. Aby uzyskać więcej informacji na temat sposobu, w jaki usługa Azure Stack Hub pomaga spełnić standardy zgodności, zobacz Portal zaufania usług firmy Microsoft.

Uwaga

Szyfrowanie magazynowane chroni dane przed uzyskaniem dostępu przez osobę, która fizycznie ukradła jeden lub więcej dysków twardych. Szyfrowanie magazynowane danych nie chroni przed przechwyceniem danych za pośrednictwem sieci (danych przesyłanych), aktualnie używanych danych (danych w pamięci) lub, ogólnie rzecz biorąc, danych eksfiltrowanych podczas uruchamiania systemu.

Pobieranie kluczy odzyskiwania funkcji BitLocker

Klucze funkcji BitLocker usługi Azure Stack Hub dla danych magazynowanych są zarządzane wewnętrznie. Nie trzeba ich dostarczać do regularnych operacji ani podczas uruchamiania systemu. Jednak scenariusze obsługi mogą wymagać użycia kluczy odzyskiwania funkcji BitLocker w trybie online.

Ostrzeżenie

Pobierz klucze odzyskiwania funkcji BitLocker i zapisz je w bezpiecznej lokalizacji poza usługą Azure Stack Hub. Brak kluczy odzyskiwania w niektórych scenariuszach pomocy technicznej może spowodować utratę danych i wymagać przywrócenia systemu z obrazu kopii zapasowej.

Pobieranie kluczy odzyskiwania funkcji BitLocker wymaga dostępu do uprzywilejowanego punktu końcowego (PEP). W sesji PEP uruchom polecenie cmdlet Get-AzsRecoveryKeys.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Parametry polecenia cmdlet Get-AzsRecoveryKeys :

Parametr Opis Typ Wymagane
Raw Zwraca mapowanie danych między kluczem odzyskiwania, nazwą komputera i identyfikatorami haseł każdego zaszyfrowanego woluminu. Przełącznik Nie, ale zalecane

Rozwiązywanie problemów

W ekstremalnych okolicznościach żądanie odblokowania funkcji BitLocker może zakończyć się niepowodzeniem, co może spowodować, że określony wolumin nie zostanie uruchomiony. W zależności od dostępności niektórych składników architektury ten błąd może spowodować przestój i potencjalną utratę danych, jeśli nie masz kluczy odzyskiwania funkcji BitLocker.

Ostrzeżenie

Pobierz klucze odzyskiwania funkcji BitLocker i zapisz je w bezpiecznej lokalizacji poza usługą Azure Stack Hub. Brak kluczy odzyskiwania w niektórych scenariuszach pomocy technicznej może spowodować utratę danych i wymagać przywrócenia systemu z obrazu kopii zapasowej.

Jeśli podejrzewasz, że w systemie występują problemy z funkcją BitLocker, takie jak niepowodzenie uruchamiania usługi Azure Stack Hub, skontaktuj się z pomocą techniczną. Obsługa wymaga kluczy odzyskiwania funkcji BitLocker. Większość problemów związanych z funkcją BitLocker można rozwiązać za pomocą operacji FRU dla tej konkretnej maszyny wirtualnej/hosta/woluminu. W innych przypadkach można wykonać procedurę ręcznego odblokowywania przy użyciu kluczy odzyskiwania funkcji BitLocker. Jeśli klucze odzyskiwania funkcji BitLocker nie są dostępne, jedyną opcją jest przywrócenie z obrazu kopii zapasowej. W zależności od momentu wykonania ostatniej kopii zapasowej może wystąpić utrata danych.

Następne kroki