Encriptação de dados inativos no Azure Stack Hub
O Azure Stack Hub protege os dados do utilizador e da infraestrutura ao nível do subsistema de armazenamento através da encriptação inativa. Por predefinição, o subsistema de armazenamento do Azure Stack Hub é encriptado com o BitLocker. Os sistemas implementados antes do lançamento de 2002 utilizam o BitLocker com encriptação AES de 128 bits; os sistemas implementados a partir de 2002 ou mais recentes utilizam o BitLocker com encriptação AES-256 bits. As chaves BitLocker são mantidas num arquivo de segredos interno.
A encriptação de dados inativos é um requisito comum para muitas das principais normas de conformidade (por exemplo, PCI-DSS, FedRAMP, HIPAA). O Azure Stack Hub permite-lhe cumprir esses requisitos sem necessidade de trabalho ou configurações adicionais. Para obter mais informações sobre como o Azure Stack Hub o ajuda a cumprir as normas de conformidade, consulte o Portal de Confiança do Serviço Microsoft.
Nota
A encriptação de dados inativos protege os seus dados contra serem acedidos por alguém que roubou fisicamente um ou mais discos rígidos. A encriptação de dados inativos não protege contra dados que são intercetados através da rede (dados em trânsito), dados atualmente utilizados (dados na memória) ou, mais em geral, dados que estão a ser exfiltrados enquanto o sistema está a funcionar.
Obter chaves de recuperação bitLocker
As chaves BitLocker do Azure Stack Hub para dados inativos são geridas internamente. Não é necessário disponibilizá-las para operações regulares ou durante o arranque do sistema. No entanto, os cenários de suporte podem exigir chaves de recuperação BitLocker para colocar o sistema online.
Aviso
Obtenha as chaves de recuperação bitLocker e armazene-as numa localização segura fora do Azure Stack Hub. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar na perda de dados e exigir um restauro do sistema a partir de uma imagem de cópia de segurança.
A obtenção das chaves de recuperação bitLocker requer acesso ao ponto final privilegiado (PEP). A partir de uma sessão PEP, execute o cmdlet Get-AzsRecoveryKeys.
##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw
Parâmetros para o cmdlet Get-AzsRecoveryKeys :
Parâmetro | Descrição | Tipo | Necessário |
---|---|---|---|
raw | Devolve o mapeamento de dados entre a chave de recuperação, o nome do computador e os IDs de palavra-passe de cada volume encriptado. | Comutador | Não, mas recomendado |
Resolver problemas
Em circunstâncias extremas, um pedido de desbloqueio bitLocker pode falhar, resultando num volume específico para não arrancar. Dependendo da disponibilidade de alguns dos componentes da arquitetura, esta falha pode resultar em tempo de inatividade e potencial perda de dados se não tiver as chaves de recuperação bitLocker.
Aviso
Obtenha as chaves de recuperação bitLocker e armazene-as numa localização segura fora do Azure Stack Hub. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar na perda de dados e exigir um restauro do sistema a partir de uma imagem de cópia de segurança.
Se suspeitar que o seu sistema está a ter problemas com o BitLocker, como a falha no início do Azure Stack Hub, contacte o suporte. O suporte requer as chaves de recuperação bitLocker. A maioria dos problemas relacionados com o BitLocker pode ser resolvida com uma operação FRU para essa VM/anfitrião/volume específico. Nos outros casos, pode ser feito um procedimento de desbloqueio manual com chaves de recuperação BitLocker. Se as chaves de recuperação bitLocker não estiverem disponíveis, a única opção é restaurar a partir de uma imagem de cópia de segurança. Dependendo do momento em que a última cópia de segurança foi efetuada, poderá ocorrer perda de dados.
Passos seguintes
- Saiba mais sobre a segurança do Azure Stack Hub.
- Para obter mais informações sobre como o BitLocker protege os CSVs, veja Proteger volumes partilhados de cluster e redes de área de armazenamento com o BitLocker.