Criptografia de dados em repouso no Azure Stack Hub

O Azure Stack Hub protege os dados do usuário e da infraestrutura no nível do subsistema de armazenamento usando criptografia em repouso. Por padrão, o subsistema de armazenamento do Azure Stack Hub é criptografado usando o BitLocker. Os sistemas implantados antes da versão 2002 usam o BitLocker com criptografia AES de 128 bits; os sistemas implantados a partir de 2002, ou mais recentes, usam o BitLocker com criptografia AES-256 bits. As chaves BitLocker são mantidas em um armazenamento secreto interno.

A criptografia de dados em repouso é um requisito comum para muitos dos principais padrões de conformidade (por exemplo, PCI-DSS, FedRAMP, HIPAA). O Azure Stack Hub permite que você atenda a esses requisitos sem necessidade de trabalho ou configurações extras. Para obter mais informações sobre como o Azure Stack Hub ajuda você a atender aos padrões de conformidade, consulte o Microsoft Service Trust Portal.

Observação

A criptografia de dados em repouso protege seus dados contra serem acessados por alguém que roubou fisicamente um ou mais discos rígidos. A criptografia de dados em repouso não protege contra dados intercetados pela rede (dados em trânsito), dados atualmente em uso (dados na memória) ou, mais em geral, dados sendo exfiltrados enquanto o sistema está em funcionamento.

Recuperando chaves de recuperação do BitLocker

As chaves BitLocker do Azure Stack Hub para dados em repouso são gerenciadas internamente. Você não é obrigado a fornecê-los para operações regulares ou durante a inicialização do sistema. No entanto, os cenários de suporte podem exigir chaves de recuperação do BitLocker para colocar o sistema online.

Advertência

Recupere suas chaves de recuperação do BitLocker e armazene-as em um local seguro fora do Azure Stack Hub. Não ter as chaves de recuperação durante determinados cenários de suporte pode resultar em perda de dados e exigir uma restauração do sistema a partir de uma imagem de backup.

A recuperação das chaves do BitLocker requer acesso ao ponto de extremidade privilegiado (PEP) . Em uma sessão PEP, execute o cmdlet Get-AzsRecoveryKeys.

##This cmdlet retrieves the recovery keys for all the volumes that are encrypted with BitLocker.
Get-AzsRecoveryKeys -raw

Parâmetros para cmdlet Get-AzsRecoveryKeys:

Parâmetro	Descrição	Tipo	Necessário
cru	Retorna o mapeamento de dados entre a chave de recuperação, o nome do computador e o(s) ID(s) de senha de cada volume criptografado.	Mudar	Não, mas recomendado

Solucionar problemas

Em circunstâncias extremas, um pedido de desbloqueio do BitLocker pode falhar, impedindo que um volume específico inicie. Dependendo da disponibilidade de alguns dos componentes da arquitetura, essa falha pode resultar em tempo de inatividade e perda potencial de dados se você não tiver suas chaves de recuperação do BitLocker.

Advertência

Se suspeitar que o seu sistema está a ter problemas com o BitLocker, tais como falha ao iniciar o Azure Stack Hub, contacte o suporte. O suporte requer as chaves de recuperação do BitLocker. A maioria dos problemas relacionados ao BitLocker pode ser resolvida com uma operação de FRU para essa VM/host/volume específico. Para os outros casos, um procedimento de desbloqueio manual usando chaves de recuperação do BitLocker pode ser feito. Se as chaves de recuperação do BitLocker não estiverem disponíveis, a única opção é restaurar a partir de uma imagem de backup. Dependendo de quando o último backup foi feito, você pode experimentar perda de dados.

Próximos passos

Saiba mais sobre a segurança do Azure Stack Hub.
Para obter mais informações sobre como o BitLocker protege CSVs, consulte protegendo volumes compartilhados de cluster e redes de área de armazenamento com o BitLocker.

Feedback

Esta página foi útil?

Last updated on 2025-10-30