Azure Stack Hub 會使用待用加密來保護記憶體子系統層級的使用者和基礎結構數據。 根據預設,Azure Stack Hub 的記憶體子系統會使用 BitLocker 加密。 在 2002 版之前部署的系統會使用 BitLocker 搭配 128 位 AES 加密;從 2002 或更新版本的開始部署的系統,請使用 BitLocker 搭配 AES-256 位加密。 BitLocker 金鑰會保存在內部秘密存放區中。
待用數據加密是許多主要合規性標準的常見需求(例如PCI-DSS、FedRAMP、HIPAA)。 Azure Stack Hub 可讓您符合這些需求,不需要額外的工作或設定。 如需 Azure Stack Hub 如何協助您符合合規性標準的詳細資訊,請參閱 Microsoft 服務信任入口網站。
注意
待用數據加密可保護您的數據,防止實際竊取一或多個硬碟的人存取您的數據。 待用數據加密不會防止透過網路截獲的數據(傳輸中的數據)、目前使用的數據(記憶體中的數據),或更一般情況下,系統啟動並執行時外泄的數據。
擷取 BitLocker 修復金鑰
靜止資料的 Azure Stack Hub BitLocker 密鑰會在內部管理。 您不需要為一般作業或在系統啟動期間提供這些資料。 不過,支援案例可能需要 BitLocker 修復金鑰才能讓系統上線。
警告
擷取您的 BitLocker 修復金鑰,並將其儲存在 Azure Stack Hub 外部的安全位置。 在特定支援案例期間沒有修復密鑰可能會導致數據遺失,且需要從備份映射還原系統。
擷取 BitLocker 修復金鑰需要存取 特殊許可權端點 (PEP)。 從 PEP 會話執行 Get-AzsRecoveryKeys Cmdlet。
##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw
Get-AzsRecoveryKeys cmdlet 的參數:
| 參數 | 描述 | 類型 | 必填 |
|---|---|---|---|
| 原始 | 傳回每個加密磁碟區之修復金鑰、計算機名稱和密碼識別碼之間的數據對應。 | 開關 | 否,但建議 |
疑難排解問題
在極端情況下,BitLocker 解除鎖定要求可能會失敗,導致特定磁碟區無法開機。 根據架構某些元件的可用性而定,如果您沒有 BitLocker 修復密鑰,此失敗可能會導致停機時間和潛在的數據遺失。
警告
擷取您的 BitLocker 修復金鑰,並將其儲存在 Azure Stack Hub 外部的安全位置。 在特定支援案例期間沒有修復密鑰可能會導致數據遺失,且需要從備份映射還原系統。
如果您懷疑您的系統遇到 BitLocker 的問題,例如 Azure Stack Hub 無法啟動,請連絡支持人員。 支援需要您的 BitLocker 修復金鑰。 大部分的 BitLocker 相關問題都可以透過該特定 VM/主機/磁碟區的 FRU 作業來解決。 若為其他情況,可以使用 BitLocker 修復金鑰進行手動解除鎖定程式。 如果無法使用 BitLocker 修復金鑰,唯一的選項是從備份映射還原。 視上次備份完成的時間而定,您可能會遇到數據遺失的情況。
後續步驟
- 深入瞭解 Azure Stack Hub 安全性。
- 如需 BitLocker 如何保護 CSV 的詳細資訊,請參閱 使用 BitLocker保護叢集共用磁碟區和儲存局域網路。