Sử dụng VM bảo mật độc quyền dựa trên AMD cho các cụm Azure Data Explorer của bạn
Mục Lục
-
Giới thiệu về Azure Data Explorer
- Về Azure Data Explorer
- Ưu điểm của Azure Data Explorer
-
Confidential Computing Solution trong Azure Data Explorer
- Lợi ích của Confidential Computing Solution
- Công nghệ bảo mật SEV-SNP
-
Các trường hợp sử dụng của Confidential Computing Solution
- Bảo vệ dữ liệu khỏi các máy ảo độc hại
- Bảo vệ máy ảo khỏi sự đánh cắp dữ liệu và mã độc
- Bảo vệ dữ liệu khỏi các cuộc tấn công物理
-
Cài đặt Azure Data Explorer Confidential Cluster
- Tạo cluster bảo mật
- Sử dụng khóa quản lý khách hàng (CMK) cho việc mã hóa
-
Verticals khách hàng hướng tới
- Ngành tài chính
- Các công ty quản lý dữ liệu nhạy cảm
-
Hướng dẫn tạo cluster ADX Confidential Computing Cluster qua giao diện
- Chuẩn bị của demo
- Tạo cluster bảo mật
- Cấu hình cluster sử dụng CMK
-
Kết Luận
#1. Giới thiệu về Azure Data Explorer
Azure Data Explorer là một dịch vụ trên nền tảng Azure được quản lý hoàn toàn, cho phép khách hàng thực hiện phân tích trên các khối lượng dữ liệu lớn và được tối ưu hóa cho các truy vấn tương tác. ADX hoạt động tốt nhất với dữ liệu chuỗi thời gian như dữ liệu giám sát, nhật ký, số liệu các chỉ số và dữ liệu luồng telemetric. Nó hỗ trợ cả dữ liệu có cấu trúc và dữ liệu bán cấu trúc như JSON, cùng với dữ liệu văn bản không cấu trúc bao gồm cả tìm kiếm chỉ mục văn bản đầy đủ. ADX cho phép người dùng phân tích hàng petabyte thông tin chỉ trong vài giây bằng cách phân tích dữ liệu có cấu trúc, bán cấu trúc và không cấu trúc thông qua việc sử dụng machine learning.
#2. Confidential Computing Solution trong Azure Data Explorer
Confidential Computing Solution trong Azure Data Explorer sử dụng các công nghệ AMD EPYC SEV-SNP để cung cấp mức độ bảo mật cao cho môi trường ảo hóa. Các công nghệ này bao gồm Secure Encrypted Virtualization (SEV) và Secure Nested Paging (SNP). SEV mã hóa tất cả dữ liệu trong bộ nhớ của máy ảo khi được lưu vào đĩa hoặc truyền qua mạng, giúp bảo vệ dữ liệu của VM tránh việc truy cập trái phép. SNP hỗ trợ mô hình phân trang phân cấp, chỉ cho phép quản trị viên của máy ảo truy cập vào bộ nhớ của máy ảo của mình, tạo ra một vùng bộ nhớ cô lập trong mỗi máy ảo không thể truy cập bởi các máy ảo khác và quản trị viên hypervisor. Các bộ xử lý AMD EPYC cũng hỗ trợ quá trình khởi động an toàn, đảm bảo hệ thống chỉ khởi động từ phần mềm đáng tin cậy.
#3. Các trường hợp sử dụng của Confidential Computing Solution
Confidential Computing Solution trong Azure Data Explorer mang lại nhiều lợi ích bảo mật. Một trong những trường hợp sử dụng quan trọng nhất là bảo vệ dữ liệu khỏi các máy ảo độc hại trên cùng một máy chủ. Bằng cách cô lập bộ nhớ của từng máy ảo trên máy chủ, các hành động độc hại từ máy ảo nguy cơ sẽ không thể truy cập vào bộ nhớ của các máy ảo khác được lưu trữ trên cùng một máy chủ. Một trường hợp sử dụng khác liên quan đến bảo vệ máy ảo khỏi hành vi độc hại của quản trị viên hypervisor hoặc quản trị viên đám mây. Với confidential computing, các quản trị viên không có quyền truy cập vào bộ nhớ của các máy ảo, từ đó ngăn chặn kẻ tấn công truy cập vào dữ liệu nhạy cảm hoặc thực thi mã độc trong máy ảo. Một trường hợp sử dụng thứ ba liên quan đến bảo vệ khỏi các cuộc tấn công vật lý, tức là các cuộc tấn công từ những người có quyền truy cập vật lý vào máy chủ. Máy ảo cũng được mã hóa bộ nhớ, do đó người có quyền truy cập vật lý vào máy không thể đọc được bộ nhớ của máy ảo.
#4. Cài đặt Azure Data Explorer Confidential Cluster
Để tạo một Azure Data Explorer Confidential Cluster, bạn chỉ cần chọn SKU ECasv5 trong quá trình tạo cluster. Nếu bạn muốn di chuyển một cluster ADX hiện có sang một SKU bảo mật, bạn cũng chỉ cần chọn một SKU Confidential Computing làm SKU đích. Quá trình di chuyển này không yêu cầu thay đổi mã. Đối với việc mã hóa dữ liệu, người dùng có thể sử dụng khóa quản lý khách hàng (CMK) để mã hóa dữ liệu lưu trữ cũng như dữ liệu trên ổ cứng SSD. Có thể sử dụng giao diện ARM hoặc Azure portal để triển khai hoặc di chuyển cluster.
#5. Verticals khách hàng hướng tới
Mặc dù Confidential Computing Solution có thể được áp dụng trong nhiều ngành khác nhau, nhưng ngành tài chính là một trong những verticals chính mà nền tảng này hướng tới. Các đối tác trong ngành tài chính phải tuân thủ các quy định về bảo mật và quản lý dữ liệu nhạy cảm. Tuy nhiên, bất kỳ công ty nào quản lý dữ liệu nhạy cảm cũng có thể được hưởng lợi từ công nghệ confidential computing, bao gồm các cơ quan chính phủ, các công ty y tế và nhiều ngành khác.
#6. Hướng dẫn tạo cluster ADX Confidential Computing Cluster qua giao diện
Trong phần này, chúng ta sẽ thực hiện một demo ngắn về cách tạo cluster ADX Confidential Computing Cluster sử dụng giao diện Azure portal. Demo này bao gồm các bước như chuẩn bị, tạo cluster bảo mật và cấu hình cluster sử dụng khóa quản lý khách hàng (CMK).
#7. Kết Luận
Confidential Computing Solution trong Azure Data Explorer mang lại một cách tiếp cận bảo mật cao cho việc xử lý dữ liệu trong môi trường ảo hóa. Điều này giúp bảo vệ dữ liệu khỏi sự truy cập trái phép và đảm bảo tuân thủ các quy định về bảo mật dữ liệu. Verticals như ngành tài chính và các công ty quản lý dữ liệu nhạy cảm sẽ có lợi từ công nghệ này. Bằng cách sử dụng giao diện của Azure portal, việc tạo ra một ADX Confidential Computing Cluster sử dụng khóa quản lý khách hàng (CMK) trở nên dễ dàng và an toàn.
Tài liệu tham khảo:
No difficulty
WHY YOU SHOULD CHOOSE TOOLIFY
