Criptografia de dados inativos no Azure Stack Hub

O Azure Stack Hub protege dados de usuário e infraestrutura no nível do subsistema de armazenamento usando criptografia em repouso. Por padrão, o subsistema de armazenamento do Azure Stack Hub é criptografado usando o BitLocker. Os sistemas implantados antes da versão 2002 usam o BitLocker com criptografia AES de 128 bits; Os sistemas implantados a partir do 2002 ou mais recente usam o BitLocker com criptografia AES-256 bits. As chaves do BitLocker são mantidas em um repositório de segredos interno.

A criptografia de dados inativos é um requisito comum para muitos dos principais padrões de conformidade (por exemplo, PCI-DSS, FedRAMP, HIPAA). O Azure Stack Hub permite que você atenda a esses requisitos sem necessidade de trabalho ou configurações adicionais. Para obter mais informações sobre como o Azure Stack Hub ajuda você a atender aos padrões de conformidade, consulte o Portal de Confiança do Serviço da Microsoft.

Observação

A criptografia de dados inativos protege seus dados contra serem acessados por alguém que roubou fisicamente um ou mais discos rígidos. A criptografia de dados inativos não protege contra dados interceptados pela rede (dados em trânsito), dados que estão sendo usados no momento (dados na memória) ou, mais em geral, dados sendo exfiltrados enquanto o sistema está em execução.

Recuperando chaves de recuperação do BitLocker

As chaves do BitLocker do Azure Stack Hub para dados inativos são gerenciadas internamente. Você não precisa fornecê-los para operações regulares ou durante a inicialização do sistema. No entanto, cenários de suporte podem exigir chaves de recuperação do BitLocker para colocar o sistema online.

Aviso

Recupere suas chaves de recuperação do BitLocker e armazene-as em um local seguro fora do Azure Stack Hub. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar em perda de dados e exigir uma restauração do sistema de uma imagem de backup.

Recuperar as chaves de recuperação do BitLocker requer acesso ao PEP ( ponto de extremidade privilegiado ). Em uma sessão PEP, execute o cmdlet Get-AzsRecoveryKeys.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Parâmetros para o cmdlet Get-AzsRecoveryKeys :

Parâmetro	Descrição	Type	Obrigatório
raw	Retorna o mapeamento de dados entre a chave de recuperação, o nome do computador e as IDs de senha de cada volume criptografado.	Comutador	Não, mas recomendado

Solucionar problemas

Em circunstâncias extremas, uma solicitação de desbloqueio do BitLocker pode falhar, resultando em um volume específico para não ser inicializado. Dependendo da disponibilidade de alguns dos componentes da arquitetura, essa falha poderá resultar em tempo de inatividade e potencial perda de dados se você não tiver suas chaves de recuperação do BitLocker.

Aviso

Recupere suas chaves de recuperação do BitLocker e armazene-as em um local seguro fora do Azure Stack Hub. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar em perda de dados e exigir uma restauração do sistema de uma imagem de backup.

Se você suspeitar que seu sistema está enfrentando problemas com o BitLocker, como falha ao iniciar o Azure Stack Hub, entre em contato com o suporte. O suporte requer as chaves de recuperação do BitLocker. A maioria dos problemas relacionados ao BitLocker pode ser resolvida com uma operação FRU para essa VM/host/volume específico. Para os outros casos, um procedimento de desbloqueio manual usando chaves de recuperação do BitLocker pode ser feito. Se as chaves de recuperação do BitLocker não estiverem disponíveis, a única opção será restaurar de uma imagem de backup. Dependendo de quando o último backup foi feito, você pode ter perda de dados.

Próximas etapas

• Saiba mais sobre a segurança do Azure Stack Hub.
• Para obter mais informações sobre como o BitLocker protege CSVs, consulte protegendo volumes compartilhados de cluster e redes de área de armazenamento com o BitLocker.