KIẾN THỨC CLOUD COMPUTING & BẢO MẬT

1) Cloud Computing là gì?

Cloud computing = dùng dịch vụ máy tính (lưu trữ, phần mềm, database, máy chủ…) chạy trên máy chủ từ xa qua Internet thay vì cài trên máy tính cá nhân hay máy chủ nội bộ.

Lợi ích: dễ mở rộng (scale), tiết kiệm chi phí và quản lý tập trung

2) IaaS / PaaS / SaaS khác nhau như thế nào?

• IaaS (Infrastructure as a Service): nhà cung cấp cho bạn hạ tầng (máy ảo, storage, mạng). Bạn quản lý hệ điều hành, ứng dụng. Ví dụ: thuê VM, block storage.
• PaaS (Platform as a Service): nhà cung cấp cho nền tảng để dev + deploy (runtime, build tools). Bạn chỉ lo code. Ví dụ: dịch vụ hosting app, serverless platforms.
• SaaS (Software as a Service): phần mềm dùng ngay do nhà cung cấp vận hành (email, CRM, Office online). Người dùng chỉ dùng/chạy, không quản lý hạ tầng.

3) Website tĩnh thuộc mô hình nào trong cloud?

Website tĩnh (HTML/CSS/JS không cần server-side rendering) thường được triển khai trên dịch vụ hosting tĩnh / JAMstack — về ý nghĩa gần với PaaS / serverless static hosting (như Cloudflare Pages, Netlify, GitHub Pages). Ngoài ra nội dung tĩnh thường được phân phối qua CDN để đạt tốc độ cao.

4) Cloudflare Pages hoạt động theo cơ chế gì?

Bạn kết nối repo Git (GitHub/GitLab). Khi push code, Pages tự build (hoặc bạn upload asset đã build) và triển khai lên mạng biên (edge network) của Cloudflare.

Pages hỗ trợ cả site tĩnh và "Pages Functions" (chạy mã nhẹ ở edge bằng Workers) để xử lý chút logic động mà không cần server truyền thống.

5) CDN phân phối nội dung ra sao?

CDN là mạng máy chủ phân tán theo địa lý (POP/edge). Khi người dùng yêu cầu nội dung, CDN trả bản copy đã cache từ edge gần nhất, giảm độ trễ so với truy vấn origin server xa. Nếu edge không có, CDN sẽ lấy từ origin rồi cache để phục vụ lần sau. Đây là cách CDN phân phối và giảm tải cho origin.

6) CDN có vai trò gì đối với hiệu năng và an toàn?

Hiệu năng: giảm độ trễ (latency), tăng tốc tải trang, giảm băng thông cho origin, cải thiện trải nghiệm người dùng toàn cầu.

An toàn: nhiều CDN (như Cloudflare) có thêm lớp DDoS protection, WAF (Web Application Firewall), TLS/HTTPS, bot management — giúp giảm tấn công và chặn request độc hại trước khi tới origin. Tuy nhiên CDN không thay thế mọi biện pháp bảo mật.

7) Ví dụ minh họa

Người dùng ở Hà Nội truy cập example.com/image.jpg → DNS + CDN chọn POP (edge) gần VN → trả image.jpg từ edge (không phải từ Mỹ). Lần đầu edge chưa có sẽ lấy từ origin, nhưng các lần sau sẽ được phục vụ nhanh hơn nhiều.

8) Những rủi ro bảo mật còn tồn tại?

Dù dùng cloud + CDN, vẫn còn rủi ro chính:

• Lỗ hổng ứng dụng web (SQLi, XSS, broken auth — OWASP Top 10).
• Cấu hình sai (misconfiguration): bucket public, header sai, SSL sai.
• Rò rỉ dữ liệu / quản lý quyền kém: IAM bị lỏng/lạm quyền.
• Cache poisoning / stale content nếu cache không cấu hình đúng.
• Phụ thuộc nhà cung cấp (vendor risk) / downtime.

9) Giải pháp (các bước thực tế dễ làm, ưu tiên theo thứ tự)

• HTTPS + HSTS: bắt buộc, không dùng HTTP.
• WAF + Rate limiting: bật firewall, giới hạn tần suất truy cập để chống bot/DDoS.
• Quy tắc access / IAM chặt chẽ: chỉ cấp quyền cần thiết (least privilege). Dùng MFA cho tài khoản quản trị.
• Cấu hình cache đúng: set đúng Cache-Control, TTL, tránh cache dữ liệu nhạy cảm.
• Patch/update & dependency scanning: cập nhật thư viện, quét lỗ hổng.
• Kiểm thử ứng dụng + tuân thủ OWASP: chạy SAST/DAST, kiểm tra OWASP Top 10.
• Giám sát & logging: bật log truy cập, cảnh báo bất thường, phân tích traffic.
• Chuẩn bị fallback/đa vùng: nếu hệ thống quan trọng, cân nhắc multi-CDN hoặc backup origin.

Mục tiêu của quy trình kiểm tra an toàn

• Xác định các lỗ hổng dễ khai thác (cấu hình sai header, TLS, XSS, v.v.).
• Đánh giá hiệu năng & trải nghiệm người dùng (vì performance ảnh hưởng tới an toàn vận hành và khả năng chịu tải).
• Kiểm tra chuỗi cung ứng phần mềm (thư viện/ dependency có lỗ hổng).
• Đề xuất hành động khắc phục, ưu tiên theo rủi ro.

Quy trình kiểm tra (workflow chi tiết — bước theo thứ tự)

1. Lập kế hoạch & phạm vi

Xác định endpoints, sitemap, repo code, thông tin chứng thực test (account thử nghiệm). Ghi rõ mức độ rủi ro chấp nhận được.

2. Thu thập thông tin (reconnaissance)

Lấy danh sách URL, header hiện tại, DNS, CDN/edge location, assets lớn.

3. Kiểm tra cấu hình nhanh (automated smoke tests)

• Chạy SecurityHeaders để xem header thiếu/bất thường.
• Chạy PageSpeed/Lighthouse để lấy baseline hiệu năng và Core Web Vitals.

4. Kiểm tra lỗ hổng động & tĩnh

• Dùng SAST/Code scanning (GitHub Advanced Security / code scanning) + Dependabot để check dependency.
• Dùng DAST nhẹ (burp/OWASP ZAP) để quét OWASP Top 10 (XSS, CSRF, auth issues).

5. Kiểm tra chính sách caching / CDN

Xem các header Cache-Control, TTL, và cách CDN (Cloudflare) cấu hình cache (tiered cache, cache rules). Sai cấu hình có thể gây leak dữ liệu nhạy cảm hoặc serving stale content.

6. Kiểm tra bảo mật transport

Kiểm tra TLS version, ciphers, HSTS; test redirect từ HTTP → HTTPS.

7. Kiểm tra an ninh biên (edge)

Kiểm tra WAF rules, rate-limiting, bot management (trên Cloudflare hoặc CDN tương tự).

8. Tổng hợp kết quả & phân loại rủi ro

Ghi issue, mức độ (High / Medium / Low), reproduce steps, ảnh chụp/ logs, đề xuất fix.

9. Remediation & re-test

Dev áp fix, deploy, clear cache/edge, re-run automated tests để confirm.

10. Giám sát liên tục

Bật logging, alert, RASP/WAF dashboard và periodic scans; tích hợp vào CI (Dependabot + code scanning bàn giao alert tới team).