- Tổng hợp chi tiết tài liệu: Microsoft Fabric End-to-End Security Whitepaper
- 1. Giới thiệu về Microsoft Fabric và Tầm quan trọng của An ninh
- 2. Kiến trúc An ninh của Microsoft Fabric
- 4. An ninh Mạng
- 5. Bảo mật Dữ liệu
- 6. Tuân thủ và Quản trị
- 7. Độ tin cậy và Khôi phục sau Thảm họa
- 8. Tình huống An ninh Toàn diện: Ứng dụng trong Y tế
- 9. Tài liệu tham khảo
Tổng hợp chi tiết tài liệu: Microsoft Fabric End-to-End Security Whitepaper
Tài liệu Microsoft Fabric End-to-End Security Whitepaper (phiên bản tháng 11/2024) cung cấp cái nhìn toàn diện về cách Microsoft Fabric, một nền tảng phân tích dữ liệu dạng SaaS (Software as a Service), đảm bảo an ninh dữ liệu từ đầu đến cuối. Tài liệu này đặc biệt hữu ích cho các tổ chức muốn bảo vệ dữ liệu nhạy cảm, tuân thủ quy định ngành và quản lý truy cập dữ liệu hiệu quả. Dưới đây là tóm tắt chi tiết nội dung tài liệu bằng tiếng Việt, được tối ưu hóa để bạn viết bài trên BSD blog.
1. Giới thiệu về Microsoft Fabric và Tầm quan trọng của An ninh
Microsoft Fabric là nền tảng phân tích dữ liệu tích hợp, cho phép người dùng thu thập, lưu trữ, xử lý và trực quan hóa dữ liệu. Là một dịch vụ SaaS, Fabric cung cấp các tính năng an ninh tích hợp sẵn, giúp giảm gánh nặng quản lý hạ tầng an ninh và tận dụng chuyên môn của Microsoft để bảo vệ dữ liệu, vá lỗ hổng, giám sát mối đe dọa và đảm bảo tuân thủ quy định.
Các đặc điểm chính của an ninh Fabric:
- Luôn bật: Mọi tương tác với Fabric đều được mã hóa và xác thực qua Microsoft Entra ID (trước đây là Azure Active Directory). Dữ liệu tại chỗ được mã hóa tự động, với các tính năng bổ sung như Private Links hoặc Entra Conditional Access để tăng cường bảo mật.
- Tuân thủ: Hỗ trợ chủ quyền dữ liệu với các vùng địa lý đa dạng, tuân thủ các tiêu chuẩn như ISO 27001, HIPAA.
- Quản trị được: Cung cấp các công cụ như theo dõi dòng dữ liệu (data lineage), nhãn bảo vệ thông tin và tích hợp với Microsoft Purview.
- Tùy chỉnh được: Cho phép cấu hình an ninh theo chính sách tổ chức.
- Không ngừng phát triển: Microsoft liên tục cải tiến các tính năng an ninh.
2. Kiến trúc An ninh của Microsoft Fabric
Tổng quan kiến trúc
Fabric được xây dựng trên Azure, tích hợp các dịch vụ phân tích như Lakehouse, Data Factory, Synapse Data Warehouse, Power BI, v.v. Là một nền tảng SaaS, Fabric tự động tích hợp các tính năng an ninh, loại bỏ nhu cầu cấu hình phức tạp như các nền tảng PaaS.
Sơ đồ kiến trúc an ninh:
- Người dùng: Kết nối qua trình duyệt hoặc ứng dụng như Power BI Desktop.
- Xác thực: Microsoft Entra ID quản lý danh tính và quyền truy cập.
- Web Front End: Xử lý yêu cầu người dùng và phân phối nội dung giao diện.
- Nền tảng Metadata: Lưu trữ siêu dữ liệu (metadata) của tenant, đảm bảo quyền truy cập được xác thực, đặt tại vùng home region của tenant.
- Nền tảng Back-end Capacity: Quản lý tính toán và lưu trữ dữ liệu, đặt tại vùng capacity region.
Đặc điểm an ninh:
- Các dịch vụ chạy trong mạng ảo (virtual networks) được bảo mật, chỉ mở các điểm cuối (endpoints) an toàn ra internet.
- Cô lập logic giữa các tenant, đảm bảo dữ liệu của tenant này không thể truy cập bởi tenant khác.
- Mã nguồn được viết bằng ngôn ngữ quản lý (managed code), không chạy mã do người dùng viết.
3. Xác thực và Quản lý Danh tính
Fabric sử dụng Microsoft Entra ID để xác thực mọi yêu cầu kết nối, đảm bảo truy cập an toàn từ bất kỳ thiết bị hay mạng nào (văn phòng, nhà riêng, hoặc từ xa). Sau khi xác thực, người dùng nhận access token để thực hiện các thao tác trong Fabric.
Entra Conditional Access:
- Dựa trên mô hình Zero Trust, coi danh tính là ranh giới an ninh chính, không phụ thuộc vào mạng nội bộ.
- Cho phép thiết lập chính sách truy cập dựa trên:
- Danh tính người dùng.
- Ngữ cảnh thiết bị (tuân thủ, loại thiết bị).
- Vị trí mạng, độ nhạy của ứng dụng.
- Ví dụ: Yêu cầu xác thực đa yếu tố (MFA), giới hạn truy cập từ các vị trí hoặc thiết bị rủi ro.
- Cấu hình: Cần chọn các dịch vụ Azure liên quan (Power BI, Azure SQL Database, Azure Storage) và yêu cầu giấy phép Microsoft Entra ID P1, thường đã có trong các tổ chức dùng Microsoft 365.
4. An ninh Mạng
4.1. An ninh mạng đầu vào (Inbound Network Security)
- Lưu lượng đầu vào: Lưu lượng từ internet vào Fabric được mã hóa bằng TLS 1.2 (hỗ trợ TLS 1.3 nếu có).
- Microsoft Entra ID: Xác thực mọi yêu cầu.
- Mạng nội bộ Microsoft: Lưu lượng giữa các trải nghiệm Fabric (như Power BI truy cập OneLake) đi qua mạng backbone của Microsoft, không qua internet công cộng.
- Private Links:
- Gán địa chỉ IP riêng từ mạng ảo của tổ chức cho Fabric, tạo kênh kết nối riêng.
- Khi bật, Fabric không thể truy cập qua internet công cộng; mọi kết nối phải qua mạng riêng (qua ExpressRoute hoặc VPN site-to-site).
- Hạn chế:
- Tăng độ trễ do lưu lượng đi qua điểm cuối riêng.
- Tăng chi phí băng thông và ExpressRoute.
- Tài nguyên không liên quan đến dữ liệu (như CSS, HTML) phải tải từ vị trí điểm cuối riêng, có thể làm giảm hiệu suất.
4.2. An ninh mạng đầu ra (Outbound Network Security)
Fabric cung cấp các công cụ để kết nối an toàn với nguồn dữ liệu bên ngoài:
- Trusted Workspace Access:
- Truy cập an toàn vào Azure Data Lake Storage (ADLS) Gen2 được bảo vệ bởi tường lửa, sử dụng mạng backbone của Microsoft.
- Chỉ các workspace được cấu hình mới có thể truy cập.
- Managed Private Endpoints:
- Kết nối an toàn tới nguồn dữ liệu Azure (như ADLS Gen2, Azure SQL Database) mà không cần mở truy cập internet công cộng.
- Được quản lý trong mạng ảo của Fabric, không hiển thị trong Azure Portal.
- On-premises Data Gateway:
- Kết nối với nguồn dữ liệu on-premises qua cổng gateway.
- Hỗ trợ Data Factory dataflows/pipelines để nhập, chuẩn bị và chuyển đổi dữ liệu.
- VNet Data Gateway:
- Kết nối với nguồn dữ liệu Azure qua mạng ảo mà không cần quản lý hạ tầng.
- Fabric tự động tạo container trong Azure VNet.
4.3. Danh sách URL cần cho phép (Allowlist)
Fabric yêu cầu kết nối tới các URL cụ thể để hoạt động, chia thành bắt buộc (required) và tùy chọn (optional):
| Mục đích | Điểm cuối (Endpoint) | Cổng (Port) |
|---|---|---|
| Portal | *.fabric.microsoft.com | TCP 443 |
| OneLake DFS APIs | *.onelake.dfs.fabric.microsoft.com | TCP 1443 |
| Notebook backend | *.pbidedicated.windows.net | N/A |
| Data Warehouse SQL | datawarehouse.fabric.microsoft.com | 1433 |
| Power BI Backend APIs | api.powerbi.com, *.analysis.windows.net | TCP 443 |
- Lưu ý: Hầu hết các điểm cuối yêu cầu TCP 443, trừ một số trường hợp (như SQL dùng cổng 1433).
- Power BI yêu cầu thêm các URL liên quan đến Microsoft 365, OneDrive, SharePoint, và các dịch vụ bên ngoài như Bing Maps, Azure Maps.
5. Bảo mật Dữ liệu
5.1. Mã hóa
- Dữ liệu tại chỗ (Data at Rest):
- Mã hóa bằng Microsoft-managed keys, đảm bảo dữ liệu không bao giờ lưu trữ ở trạng thái không mã hóa.
- Tuân thủ các tiêu chuẩn như ISO, HIPAA.
- Dữ liệu trong quá trình truyền (Data in Transit):
- Sử dụng TLS 1.2 (hỗ trợ TLS 1.3 nếu có).
- Lưu lượng giữa các dịch vụ Microsoft đi qua mạng backbone toàn cầu, đảm bảo an toàn và hiệu suất.
5.2. Customer-Managed Keys (CMK)
- Mặc định: Fabric sử dụng khóa do Microsoft quản lý.
- CMK: Cho phép khách hàng sử dụng khóa riêng để mã hóa dữ liệu tại chỗ, đáp ứng yêu cầu tuân thủ nghiêm ngặt.
- Mô hình đề xuất:
- Lưu trữ dữ liệu trên dịch vụ đám mây (ADLS Gen2, AWS S3, Google Cloud Storage) với CMK.
- Sử dụng OneLake shortcuts để truy cập dữ liệu từ Fabric mà không cần di chuyển dữ liệu.
- Hạn chế:
- Chỉ Lakehouse và KQL Database hỗ trợ shortcuts.
- ADLS Gen2 hỗ trợ cả đọc/ghi với CMK; AWS S3 và GCS chỉ hỗ trợ đọc.
5.3. Quyền truy cập và Phân quyền
- Workspace Roles:
- Admin: Toàn quyền quản lý nội dung và quyền.
- Member: Xem, chỉnh sửa, chia sẻ nội dung.
- Contributor: Xem, chỉnh sửa nội dung.
- Viewer: Chỉ xem nội dung.
- Item Permissions: Quyền chi tiết cho từng mục (lakehouse, pipeline, notebook).
- OneLake Permissions: Quản lý truy cập dữ liệu trong OneLake, hỗ trợ shortcuts.
- SQL Security Model: Áp dụng quyền chi tiết (bảng, hàng, cột) trong SQL analytics endpoints.
6. Tuân thủ và Quản trị
Tuân thủ
Fabric tuân thủ Microsoft Online Services Terms và Microsoft Enterprise Privacy Statement, tích hợp các phương pháp tuân thủ từ giai đoạn phát triển đến chứng nhận. Nền tảng tuân thủ các tiêu chuẩn như ISO 27001, 27017, 27018, 27701, và HIPAA.
- Trách nhiệm chung: Microsoft và khách hàng cùng đảm bảo tuân thủ quy định.
- Tài liệu kiểm toán: Có sẵn trên Service Trust Portal.
- Chủ quyền dữ liệu: Hỗ trợ Multi-Geo capacities để giữ dữ liệu trong các khu vực cụ thể (ví dụ: chỉ trong Mỹ cho dữ liệu y tế).
Công cụ quản trị
- Microsoft Purview: Tích hợp để khám phá, phân loại dữ liệu và ngăn chặn mất dữ liệu.
- Data Lineage: Theo dõi dòng dữ liệu trong Fabric.
- Admin Portal: Quản lý cài đặt tenant, miền (domains), và capacities.
- Auditing: Ghi lại hoạt động để giám sát và tuân thủ.
7. Độ tin cậy và Khôi phục sau Thảm họa
Availability Zones
- Fabric hỗ trợ availability zones ở một số vùng, với ít nhất ba trung tâm dữ liệu riêng biệt trong mỗi vùng để đảm bảo dự phòng.
- Dịch vụ zone-redundant tự động sao chép qua các zones; dịch vụ zonal gắn với zone cụ thể.
- Hạn chế: Một số trải nghiệm (như Data Factory, mô hình ngữ nghĩa lớn trong Power BI) chưa hỗ trợ đầy đủ zones.
Khôi phục sau Thảm họa (Disaster Recovery – DR)
- Trách nhiệm chung: Microsoft đảm bảo hạ tầng sẵn sàng; khách hàng cấu hình kế hoạch DR cho các workload cụ thể.
- Sao chép đa vùng: Hỗ trợ cho dữ liệu OneLake (tùy chọn bật/tắt), với Power BI tự động sao chép geo-redundant.
- Cài đặt DR Capacity:
- Bật/tắt sao chép dữ liệu OneLake ở cấp capacity.
- Yêu cầu vai trò capacity admin và thời gian chờ 30 ngày giữa các thay đổi.
- Mất tối đa 72 giờ để bắt đầu sao chép.
- Quy trình Failover:
- Giai đoạn 1 (Chuẩn bị): Bật cài đặt DR và sao lưu dữ liệu ngoài OneLake.
- Giai đoạn 2 (Failover): Truy cập chỉ đọc vào Fabric portal và Power BI; dữ liệu OneLake có thể truy cập qua API/công cụ bên thứ ba.
- Giai đoạn 3 (Khôi phục): Tạo capacities, workspace, và items mới để khôi phục dịch vụ.
- Chi phí: DR làm tăng chi phí lưu trữ và giao dịch, được theo dõi trong Fabric Capacity Metrics app.
8. Tình huống An ninh Toàn diện: Ứng dụng trong Y tế
Bối cảnh
Một tổ chức y tế tại Mỹ sử dụng Fabric để xây dựng medallion architecture lakehouse (bronze, silver, gold layers) cho dữ liệu bệnh nhân từ các nguồn như hồ sơ y tế điện tử, thiết bị đeo. Mục tiêu là nhập, xử lý và phân tích dữ liệu an toàn, tuân thủ HIPAA và chính sách tổ chức.
Triển khai An ninh
- Bảo vệ đầu vào (Inbound Protection):
- Microsoft Entra ID xác thực người dùng, với MFA và giới hạn truy cập từ mạng nội bộ qua Entra Conditional Access.
- Private Links khóa tenant, chỉ cho phép truy cập qua mạng ảo.
- Microsoft Intune đảm bảo thiết bị tuân thủ (ví dụ: hệ điều hành mới nhất, bản vá bảo mật).
- Bảo vệ đầu ra (Outbound Protection):
- On-premises Data Gateway: Kết nối dữ liệu on-premises sau tường lửa.
- VNet Data Gateway: Truy cập dữ liệu Azure (như Azure SQL Database) qua private endpoints.
- Trusted Workspace Access: Kết nối an toàn với ADLS Gen2.
- OneLake Shortcuts: Tích hợp dữ liệu ADLS Gen2 hiện có mà không cần di chuyển.
- Xử lý dữ liệu:
- Mã hóa: Sử dụng khóa do Microsoft quản lý; CMK qua lưu trữ bên ngoài với shortcuts.
- Chủ quyền dữ liệu: Multi-Geo capacities đảm bảo dữ liệu chỉ lưu tại Mỹ (East US cho tenant, West US cho capacity).
- Kiểm soát truy cập:
- Workspace Roles: Kỹ sư dữ liệu (Admin/Contributor) truy cập bronze/silver; nhà phân tích/người dùng (Viewer) truy cập gold.
- Row-Level Security (RLS): Áp dụng quyền truy cập dữ liệu theo vai trò/phòng ban trong Direct Lake semantic models.
- SQL Security Model: Hạn chế truy cập bảng/hàng/cột trong SQL analytics endpoints.
Các tình huống an ninh phổ biến
| Tình huống | Công cụ | Hướng |
|---|---|---|
| Nhập dữ liệu on-premises sau tường lửa | On-premises data gateway, data pipelines | Outbound |
| Nhập dữ liệu Azure qua private endpoints | VNet data gateway, Dataflow Gen2 | Outbound |
| Chạy mã nhập dữ liệu Spark | Fabric notebooks, managed private endpoints | Outbound |
| Chuyển pipeline ADF sang Fabric | Lakehouse connector | Outbound |
| Giới hạn Fabric trong mạng nội bộ | Entra Conditional Access | Inbound |
| Khóa tenant khỏi internet công cộng | Private Links | Inbound |
9. Tài liệu tham khảo
Tài liệu này tổng hợp từ các nguồn trực tuyến:
- Security in Microsoft Fabric
- Microsoft Fabric Security Fundamentals
- Protect Inbound Traffic
- Reliability in Microsoft Fabric
- Microsoft Compliance Offerings
Tóm tắt này cung cấp cái nhìn chi tiết nhưng dễ hiểu về các tính năng an ninh của Microsoft Fabric, phù hợp với độc giả kỹ thuật. Bạn có thể sử dụng nội dung này để viết bài trên BSD blog, nhấn mạnh vào khả năng bảo mật, tuân thủ và độ tin cậy của Fabric cho các workload phân tích dữ liệu.
Call BSD 0918 339 689 để tìm hiểu thêm về nền tảng dữ liệu Microsoft Fabric, tìm hiểu về phương pháp tiếp cận và triển khai giải pháp cho môi trường của doanh nghiệp bạn
