Tin tức

Thực thi đáng tin cậy: Nền tảng an toàn cho AI và hơn thế nữa

Posted on by admin

Trong bài viết này, phần thứ ba của loạt bài về bảo mật VxRail, chúng tôi sẽ tiếp tục chủ đề bảo mật chuỗi cung ứng trước đó để xem xét vai trò nền tảng của Môi trường Thực thi Tin cậy (TEE) bên cạnh chức năng quan trọng của mật mã trong việc củng cố bảo vệ dữ liệu. Chúng tôi sẽ đi sâu vào cách VxRail, nền tảng của cơ sở hạ tầng Dell Technologies, phản ánh nguyên tắc Zero Trust “Không bao giờ tin tưởng, luôn xác minh” thông qua TEE và các lớp mật mã, đảm bảo khả năng phòng thủ mạnh mẽ trong suốt vòng đời của sản phẩm. Trung tâm của bất kỳ hệ thống bảo mật nào chính là TEE, một nơi trú ẩn an toàn cho các hoạt động nhạy cảm nhất của bạn, cung cấp bảo mật cho cả các ứng dụng thông thường và ứng dụng tập trung vào AI.

Môi trường thực thi đáng tin cậy

Trong một thời gian dài, việc bảo vệ dữ liệu khi đang hoạt động được coi là một thách thức đáng kể. Mặc dù hiệu suất xử lý mật mã đã được cải thiện đáng kể, nhưng việc mã hóa phần mềm theo thời gian thực trên dữ liệu đang sử dụng lại hoàn toàn không khả thi. Hạn chế này đã khiến các nhà sản xuất chip tìm ra một giải pháp thay thế là tận dụng phần cứng để cung cấp một không gian an toàn để xử lý dữ liệu nhằm giảm thiểu rủi ro bị lộ. Không gian này chính là Môi trường Thực thi Tin cậy (Trusted Execution Environment).

TEE bắt đầu với bộ xử lý chính. Các CPU hiện đại của cả Intel và AMD đều cung cấp một vùng bảo mật, đảm bảo tính bảo mật và toàn vẹn của dữ liệu đang được xử lý bằng cách ngăn chặn truy cập trái phép vào TEE. Phương pháp này hạn chế khả năng kẻ xấu truy cập hoặc sửa đổi dữ liệu đang chạy trong vùng bảo mật. Mặc dù TEE của AMD hoàn toàn là phần cứng, Intel cung cấp API Software Guard Extensions (SGX) cho phép thực hiện các lệnh gọi trực tiếp từ cấp độ người dùng và hệ điều hành để xác định các vùng bảo vệ và vùng bộ nhớ riêng được bảo vệ, cho phép thực thi mã an toàn trên máy chủ từ xa, bảo vệ khóa mã hóa, v.v.  

Phần cứng khác có thể tăng cường bảo mật:

  • Mô-đun nền tảng đáng tin cậy (TPM) cung cấp các chức năng bảo mật cơ bản dựa trên phần cứng được sử dụng cho lưu trữ an toàn, quản lý khóa và chứng thực từ xa.
  • Đơn vị quản lý bộ nhớ an toàn (MMU an toàn) nhằm nâng cao TEE của CPU bằng cách đảm bảo cô lập bộ nhớ an toàn và kiểm soát truy cập.
  • Mô-đun bảo mật phần cứng (HSM), thường được sử dụng cho các hoạt động mã hóa.

Dell và VxRail nhận thức rằng việc cung cấp TEE là rất quan trọng để tạo ra một môi trường vận hành an toàn. Đối với các triển khai AI, một TEE vững chắc có thể bảo vệ chống lại các hành vi tiêm nhiễm, lây nhiễm, trích xuất và các vectơ tấn công từ bên thứ ba. VxRail với PowerEdge cung cấp khả năng lựa chọn cả chip Intel và AMD được kích hoạt cho TEE, với phần cứng TPM 2.0 để tăng cường khả năng bảo mật, bao gồm Silicon Root of Trust, SecureBoot và Secured Component Verification (SCV).

VxRail, giải pháp cơ sở hạ tầng mạnh mẽ của Dell Technologies, tuân thủ nguyên tắc Zero Trust. Triết lý bảo mật này trải dài trong toàn bộ vòng đời sản phẩm của chúng tôi, từ khi bắt đầu đến khi ngừng hoạt động. Kiến trúc Zero Trust đa dạng, bao gồm nhiều lớp bảo mật giao thoa tại các thời điểm khác nhau trong vòng đời này. Mỗi lớp giải quyết các vấn đề bảo mật cụ thể, cùng nhau tạo thành một hệ thống phòng thủ vững chắc chống lại các tác nhân độc hại. Trong bối cảnh môi trường AI, nơi các hướng tấn công rất đa dạng, khả năng bảo vệ toàn diện của VxRail càng trở nên quan trọng hơn bao giờ hết. 

Mật mã học

Dựa trên tính bảo mật của TEE, bây giờ chúng ta hãy thảo luận về việc sử dụng mật mã trong toàn bộ vòng đời để bổ sung thêm các biện pháp bảo vệ nhằm giữ an toàn cho các trường hợp sử dụng thông thường và AI.

Các hoạt động mã hóa, dưới hình thức này hay hình thức khác, vẫn tiếp tục là một công cụ mạnh mẽ trong bộ công cụ bảo mật. Về mặt cơ sở hạ tầng, mã hóa điển hình bao gồm mã hóa và ký. Với mã hóa, mục tiêu là đảm bảo tính bảo mật của dữ liệu, và ký đảm bảo tính toàn vẹn của dữ liệu. Cả hai hành động này có thể được thực hiện riêng biệt hoặc kết hợp để tăng cường bảo vệ. Như với hầu hết các vấn đề bảo mật, việc sử dụng phương pháp nào và khi nào phụ thuộc vào trường hợp sử dụng, hiệu suất và các yêu cầu về khả năng sử dụng.

Hai hiện vật cần thiết để thực hiện các hoạt động mã hóa là:

  • Bộ xử lý mật mã (phần cứng) và mô-đun mật mã (phần mềm)
  • Khóa mã hóa (thường là đối xứng và không đối xứng) 

Tất nhiên, không phải tất cả các loại mật mã đều như nhau. Khách hàng quan tâm đến bảo mật, đặc biệt là những người triển khai môi trường AI, sẽ muốn đảm bảo rằng các thuật toán và phương pháp được sử dụng đủ mạnh để đáp ứng các tiêu chuẩn ngành. Trong trường hợp mã hóa, đó sẽ là NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ) FIPS 140. Tiêu chuẩn sống này xác định các yêu cầu bảo mật mà các mô-đun mật mã phải đáp ứng để triển khai tại Liên bang Hoa Kỳ, trong khi các tổ chức trong các ngành và lĩnh vực khác nhận ra rằng người dùng các thư viện và mô-đun mã hóa được xác thực FIPS sẽ góp phần đáng kể vào việc đảm bảo mật mã an toàn.

Trong trung tâm dữ liệu, mật mã thường được áp dụng cho truyền thông (dữ liệu đang truyền) và lưu trữ (dữ liệu ở trạng thái tĩnh).

Truyền thông

Mặc dù có nhiều cách để thực hiện mã hóa dữ liệu khi truyền, cách phổ biến nhất là sử dụng TLS, hay Bảo mật Lớp Vận chuyển. Giao thức này quy định cách thức cung cấp giao tiếp an toàn qua mạng máy tính, đảm bảo quyền riêng tư, tính toàn vẹn và xác thực. Giao thức này thường được sử dụng giữa các ứng dụng và là phiên bản kế thừa của Secure Sockets Layer (SSL).  

Một trường hợp sử dụng khác cho hoạt động mã hóa trong giao tiếp là Đăng nhập một lần (SSO). Có các tiêu chuẩn được ngành công nghiệp chấp nhận cho giao tiếp SSO và một số tiêu chuẩn trong số đó cung cấp và yêu cầu sử dụng mật mã để mã hóa và/hoặc chữ ký. Cả hai trường hợp sử dụng này thường yêu cầu tạo và sử dụng khóa mã hóa bất đối xứng , phải được quản trị viên cơ sở hạ tầng quản lý đúng cách.

Kho

Mã hóa dữ liệu khi lưu trữ thường được xử lý theo hai cách:

  • Ổ đĩa tự mã hóa (SED)
  • Mã hóa dựa trên phần mềm 

Có thể chọn một trong hai hoặc cả hai trường hợp sử dụng và yêu cầu sử dụng và quản lý phù hợp, trong trường hợp này là khóa mã hóa đối xứng .  

Mã hóa là một biện pháp kiểm soát bảo mật quan trọng đối với mọi trường hợp sử dụng cơ sở hạ tầng, bao gồm cả AI. Việc bảo vệ dữ liệu khỏi bị rò rỉ và sửa đổi là điều cần thiết đối với tất cả người dùng. Đối với trường hợp sử dụng AI, truyền thông và lưu trữ được mã hóa là những biện pháp kiểm soát tốt nhất để khắc phục các cuộc tấn công đầu độc. VxRail cung cấp truyền thông và lưu trữ được mã hóa theo chuẩn FIPS 140-2 được tích hợp sẵn trong thiết bị, sử dụng TLS cho truyền thông, SED để mua, và hỗ trợ các tính năng mã hóa VMware vSphere VM và vSAN.  

Hãy tham gia cùng chúng tôi vào tuần tới khi chúng ta tìm hiểu sâu hơn về công nghệ và vai trò quan trọng của Quản lý danh tính và truy cập (IAM) trong hệ sinh thái bảo mật VxRail, mang lại sự an tâm bất kể bản chất của ứng dụng. 

Bài viết mới cập nhật

Chạy SUSE Rancher và K3s với SLE Micro trên Dell VxRail
21/10/2025

SUSE Rancher và K3s chạy trên hệ điều hành SUSE Linux ...

Tự động hóa VxRail thật dễ dàng: Khám phá API VxRail và tăng tốc phát triển tự động hóa với Windsurf
21/10/2025

Trong bài viết trước , tôi đã khám phá cách GitHub Copilot có ...

VxRail 8.0.320 – Tìm hiểu về phiên bản phần mềm VxRail mới nhất
20/10/2025

Chúc mừng năm mới, khách hàng VxRail! Hy vọng bạn đã ...

Một cái nhìn mới về VxRail Dynamic Nodes với Dell PowerStore
20/10/2025

Trong bối cảnh CNTT đang phát triển nhanh chóng, khách hàng ...