Membuat Aplikasi Terkelola untuk Menyimpan Hash Blob

Prasyarat

• Akun Azure Storage
• Azure CLI (opsional)
• Versi Python yang didukung oleh Azure SDK untuk Python (opsional)

Gambaran Umum

Blob Storage Digest Backed by Confidential Ledger Managed Application dapat digunakan untuk menjamin bahwa blob dalam kontainer blob tepercaya dan tidak dirusak. Aplikasi ini, setelah terhubung ke akun penyimpanan, melacak semua blob yang ditambahkan ke setiap kontainer di akun penyimpanan secara real time selain menghitung dan menyimpan hash ke Azure Confidential Ledger. Audit dapat dilakukan kapan saja untuk memeriksa validitas blob dan untuk memastikan bahwa kontainer blob tidak diubah.

Menyebarkan aplikasi terkelola

Aplikasi Terkelola dapat ditemukan di Marketplace Azure di sini: Blob Storage Digests Didukung oleh Confidential Ledger (pratinjau).

Sumber daya yang akan dibuat

Setelah bidang yang diperlukan diisi dan aplikasi disebarkan, sumber daya berikut dibuat di bawah Grup Sumber Daya Terkelola:

• Confidential Ledger
• antrean Bus Layanan dengan Sesi diaktifkan
• Akun Penyimpanan (akun penyimpanan milik penerbit yang digunakan untuk menyimpan logika hash dan riwayat audit)
• Aplikasi Fungsi
• Application Insights

Koneksi akun penyimpanan ke aplikasi terkelola

Setelah Aplikasi Terkelola dibuat, Anda kemudian dapat menyambungkan Aplikasi Terkelola ke Akun Penyimpanan Anda untuk mulai memproses dan merekam hash Kontainer Blob ke Azure Confidential Ledger.

Membuat topik dan langganan peristiwa untuk akun penyimpanan

Aplikasi Terkelola menggunakan Antrean Azure Bus Layanan untuk melacak dan merekam semua peristiwa Buat Blob. Anda akan menggunakan Antrean yang dibuat di Grup Sumber Daya Terkelola oleh Aplikasi Terkelola dan menambahkannya sebagai Pelanggan Peristiwa untuk akun penyimpanan apa pun yang Anda buat blobnya.

Portal Azure

Pada portal Azure, Anda dapat menavigasi ke akun penyimpanan yang ingin Anda mulai membuat hash blob untuk dan membuka bilahEvents. Di sana Anda dapat membuat Langganan Peristiwa dan menyambungkannya ke Titik Akhir Antrean Azure Bus Layanan.

Antrean menggunakan sesi untuk mempertahankan pemesanan di beberapa akun penyimpanan sehingga Anda juga perlu menavigasi ke Delivery Properties tab dan memasukkan ID sesi unik untuk langganan peristiwa ini.

CLI

Membuat Topik Peristiwa:

az eventgrid system-topic create \
--resource-group {resource_group} \
--name {sample_topic_name} \
--location {location} \
--topic-type microsoft.storage.storageaccounts \
--source /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

resource-group - Grup Sumber Daya tempat Topik harus dibuat

name - Nama Topik yang akan dibuat

location - Lokasi Topik yang akan dibuat

source - ID sumber daya akun penyimpanan untuk membuat Topik untuk

Membuat Langganan Peristiwa:

az eventgrid system-topic event-subscription create \
--name {sample_subscription_name} \
--system-topic-name {sample_topic_name} \
--resource-group {resource_group} \
--event-delivery-schema EventGridSchema \
--included-event-types Microsoft.Storage.BlobCreated \
--delivery-attribute-mapping sessionId static {sample_session_id} false \
--endpoint-type servicebusqueue \
--endpoint /subscriptions/{subscription}/resourceGroups/{managed_resource_group}/providers/Microsoft.ServiceBus/namespaces/{service_bus_namespace}/queues/{service_bus_queue}

name - Nama Langganan yang akan dibuat

system-topic-name - Nama Topik tempat Langganan dibuat (Harus sama dengan topik yang baru dibuat)

resource-group - Grup Sumber Daya tempat Langganan harus dibuat

delivery-attribute-mapping - Pemetaan untuk bidang sessionId yang diperlukan. Masukkan sessionId unik

endpoint - ID sumber daya antrean bus layanan yang berlangganan Topik akun penyimpanan

Menambahkan peran yang diperlukan ke akun penyimpanan

Aplikasi Terkelola memerlukan Storage Blob Data Owner peran untuk membaca dan membuat hash untuk setiap blob dan peran ini harus ditambahkan agar hash dihitung dengan benar.

Portal Azure

CLI

az role assignment create \
--role "Storage Blob Data Owner" \
--assignee-object-id {function_oid} \
--assignee-principal-type ServicePrincipal\
--scope /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

assignee-object-id - OID Fungsi Azure yang dibuat dengan Aplikasi Terkelola. Dapat ditemukan di bawah bilah 'Identitas'

scope - ID sumber daya akun penyimpanan untuk membuat peran untuk

Catatan

Beberapa akun penyimpanan dapat dihubungkan ke satu instans Aplikasi Terkelola. Saat ini kami merekomendasikan maksimum 10 akun penyimpanan yang berisi kontainer blob penggunaan tinggi.

Menambahkan blob dan pembuatan hash

Setelah akun penyimpanan terhubung dengan benar ke Aplikasi Terkelola, blob dapat mulai ditambahkan ke kontainer dalam akun penyimpanan. Blob dilacak secara real time dan hash dihitung dan disimpan di Azure Confidential Ledger.

Tabel transaksi dan blok

Semua peristiwa pembuatan blob dilacak dalam tabel internal yang disimpan dalam Aplikasi Terkelola.

Tabel transaksi menyimpan informasi tentang setiap blob dan hash unik yang dihasilkan menggunakan kombinasi metadata dan/atau konten blob.

Tabel blok menyimpan informasi yang terkait dengan setiap hash yang dibuat untuk kontainer blob dan ID transaksi terkait untuk hash disimpan di Azure Confidential Ledger.

Pengaturan hash

Ada beberapa pengaturan hash yang dapat dipilih saat membuat aplikasi terkelola. Anda dapat memilih yang Hashing Algorithm digunakan untuk membuat hash apakah itu MD5 atau SHA256. Anda juga dapat memilih jumlah blob yang terkandung dalam setiap hash atau Digest Size. Ukuran Hash berkisar dari 1-16 dan adalah jumlah blob yang akan di-hash bersama-sama dalam setiap blok. Terakhir, Anda dapat memilih Hash Contents dan apa yang akan di-hash saat membuat setiap hash. Ini bisa menjadi File Contents + Metadata dari setiap blob atau hanya File Contents.

Menampilkan hash di Azure Confidential Ledger

Anda dapat melihat hash yang disimpan langsung di Azure Confidential Ledger dengan menavigasi ke bilah Ledger Explorer .

Melakukan audit

Jika Anda ingin memeriksa validitas blob yang ditambahkan ke kontainer untuk memastikan bahwa blob tersebut tidak diubah, audit dapat dijalankan kapan saja. Audit memutar ulang setiap peristiwa pembuatan blob dan menghitung ulang hash dengan blob yang disimpan dalam kontainer selama audit. Kemudian membandingkan hash yang dihitung ulang dengan hash yang disimpan di Azure Confidential dan memberikan laporan yang menampilkan semua perbandingan hash dan apakah kontainer blob dirusak atau tidak.

Memicu audit

Audit dapat dipicu dengan menyertakan pesan berikut ke antrean Bus Layanan yang terkait dengan Aplikasi Terkelola Anda:

{
    "eventType": "PerformAudit",
    "storageAccount": "<storage_account_name>",
    "blobContainer": "<blob_container_name>"
}

Portal Azure

Pastikan untuk menyertakan Session ID karena antrean mengaktifkan sesi.

Python SDK

import json
import uuid
from azure.servicebus import ServiceBusClient, ServiceBusMessage

SERVICE_BUS_CONNECTION_STR = "<service_bus_connection_string>"
QUEUE_NAME = "<service_bus_queue_name>"
STORAGE_ACCOUNT_NAME = "<storage_account_name>"
BLOB_CONTAINER_NAME = "<blob_container_name>"
SESSION_ID = str(uuid.uuid4())

servicebus_client = ServiceBusClient.from_connection_string(conn_str=SERVICE_BUS_CONNECTION_STR, logging_enable=True)
sender = servicebus_client.get_queue_sender(queue_name=QUEUE_NAME)

message = {
    "eventType": "PerformAudit",
    "storageAccount": STORAGE_ACCOUNT_NAME,
    "blobContainer": BLOB_CONTAINER_NAME
}

message = ServiceBusMessage(json.dumps(message), session_id=SESSION_ID)
sender.send_messages(message)

Menampilkan hasil audit

Setelah audit berhasil dilakukan, hasil audit dapat ditemukan di bawah kontainer bernama <managed-application-name>-audit-records yang ditemukan dalam akun penyimpanan masing-masing. Hasilnya berisi hash yang dihitung ulang, hash yang diambil dari Azure Confidential Ledger dan apakah blob dirusak atau tidak.

Saat membuat aplikasi terkelola, jika Anda ikut serta dalam pemberitahuan email, Anda akan mendapatkan email yang dikirim ke email Anda selama Audit Failure atau Audit Success and Failure tergantung pada opsi apa yang dipilih.

Pengelogan dan kesalahan

Log kesalahan dapat ditemukan di bawah kontainer bernama <managed-application-name>-error-logs yang ditemukan dalam akun penyimpanan masing-masing. Jika peristiwa pembuatan blob atau proses audit gagal, penyebab kegagalan dicatat dan disimpan dalam kontainer ini. Jika ada pertanyaan tentang log kesalahan atau fungsionalitas aplikasi, hubungi tim Dukungan Azure Confidential Ledger yang disediakan dalam detail Aplikasi Terkelola.

Membersihkan aplikasi terkelola

Anda dapat menghapus Aplikasi Terkelola untuk membersihkan dan menghapus semua sumber daya terkait. Menghapus Aplikasi Terkelola menghentikan semua transaksi blob dilacak dan menghentikan semua hash dibuat. Laporan audit tetap valid untuk blob yang ditambahkan sebelum penghapusan.

Sumber daya lainnya

Untuk informasi selengkapnya tentang aplikasi terkelola dan sumber daya yang disebarkan, lihat tautan berikut ini:

• Aplikasi Terkelola
• Sesi Antrean Layanan Azure
• Peristiwa Azure Storage

Langkah berikutnya

• Gambaran umum Microsoft Azure Confidential Ledger