BÁO CÁO TỔNG HỢP & ĐÁNH GIÁ

Môn: An Toàn Điện Toán Đám Mây

Thành Viên Thực Hiện

Tóm Tắt Quá Trình Thực Hiện 5 Lab

Bài Lab Mục Tiêu & Nội Dung Triển Khai Công Cụ & Kết Quả Đạt Được
Lab 1 Tìm hiểu kiến trúc Cloud cơ bản (IaaS, PaaS, SaaS) và cơ chế phân phối CDN. Tạo website tĩnh giới thiệu thành viên.
  • Công cụ: GitHub, Cloudflare Pages.
  • Kết quả: Triển khai ứng dụng tĩnh thành công lên hạ tầng PaaS toàn cầu của Cloudflare.
Lab 2 Quản lý truy cập (Identity & Access), phân biệt Xác thực/Phân quyền, nghiên cứu mô hình bảo mật Zero Trust.
  • Công cụ: Cloudflare Zero Trust, GitHub IdP.
  • Kết quả: Website được bảo vệ lớp ngoài, ngăn chặn truy cập trái phép bằng Policy nghiêm ngặt.
Lab 3 Phát hiện, phân tích và khắc phục các rủi ro an toàn ứng dụng Web phổ biến dựa trên danh mục tiêu chuẩn OWASP Top 10.
  • Công cụ: OWASP Juice Shop, Docker, Security Headers.
  • Kết quả: Khắc phục thành công cấu hình sai, thêm HTTP Security Headers cải thiện an toàn đạt loại A.
Lab 4 Phân biệt cơ chế giám sát và nhật ký. Nhận diện các chỉ dấu hành vi bất thường và phân tích log vận hành hệ thống.
  • Công cụ: Wireshark, Nmap, Hping3, Metasploit.
  • Kết quả: Thu thập log, phân tích chuyên sâu lưu lượng các dạng tấn công từ chối dịch vụ DoS/DDoS.
Lab 5 Nghiên cứu chu trình ứng phó sự cố an toàn thông tin (Incident Response Lifecycle) theo tiêu chuẩn của NIST.
  • Nội dung: Phân tích sự cố lộ tài khoản, brute-force; liên kết các lớp OWASP - Access Control - Monitoring - Logging.
  • Kết quả: Hoàn thiện quy trình ứng phó và tổng hợp, đánh giá toàn diện tiến độ của toàn bộ học phần.

Đánh Giá Tổng Hợp Kết Quả Kỹ Thuật (Từ Lab 1 đến Lab 5)

1. Mô Hình Dịch Vụ Đám Mây & Hạ Tầng Phân Phối (Lab 1)

Việc dịch chuyển từ kiến trúc máy chủ truyền thống sang mô hình nền tảng dịch vụ PaaS (Cloudflare Pages) mang lại hiệu năng vượt trội nhờ cơ chế phân phối nội dung CDN toàn cầu. Tuy nhiên, rủi ro bảo mật vẫn tồn tại nếu lớp biên (Edge Server) không được cấu hình mã hóa truyền tải TLS/HTTPS và thiết lập bộ lọc đầu vào chặt chẽ.

2. Quản Trị Định Danh & Kiểm Soát Truy Cập Zero Trust (Lab 2)

Mô hình an ninh truyền thống dựa trên sự tin cậy nội bộ không còn an toàn trên môi trường Cloud. Qua việc thực hiện quản trị IAM kết hợp giải pháp Cloudflare Access, nhóm đã làm rõ nguyên lý Zero Trust: "Không bao giờ tin cậy, luôn luôn xác thực". Mọi yêu cầu truy cập từ thiết bị hay người dùng đều bắt buộc phải qua bộ lọc Identity Provider (Google/GitHub) và kiểm tra Policy nghiêm ngặt trước khi tương tác với tài nguyên.

3. Phòng Thủ Ứng Dụng & Cấu Hình An Toàn OWASP Top 10 (Lab 3)

Thông qua môi trường Juice Shop giả lập, nhóm đã nhận diện rõ tác hại của các lỗ hổng như Broken Access Control hay Security Misconfiguration. Biện pháp cải thiện thực tế không chỉ dừng lại ở việc tối ưu mã nguồn ứng dụng Web mà phải tăng cường lớp phòng thủ chuyên sâu (Defense in Depth) bằng cách cấu hình các HTTP Security Headers (HSTS, CSP, X-Frame-Options) để chặn đứng các kỹ thuật tấn công phổ biến.

4. Khả Năng Giám Sát, Truy Vết & Phát Hiện Hành Vi Bất Thường (Lab 4)

Quá trình mô phỏng tấn công DoS/DDoS (SYN Flooding, Ping of Death) bằng Hping3 giúp minh chứng rõ sự khác biệt và tính bổ trợ lẫn nhau của Giám sát và Nhật ký:

  • Giám sát (Monitoring - Metrics): Dựa trên số liệu định lượng, giúp phát hiện tức thời các chỉ dấu bất thường (như request tăng vọt trong 10 phút, CPU quá tải) để kích hoạt hệ thống cảnh báo sớm.
  • Nhật ký (Logging - Logs): Dựa trên dữ liệu văn bản, lưu trữ chi tiết lịch sử sự kiện phục vụ công tác điều tra chuyên sâu, định danh tài khoản và điều tra dấu vết số sau sự cố.

5. Quy Trình Ứng Phó Sự Cố & Mô Hình Trách Nhiệm Chia Sẻ (Lab 5)

Khi sự cố xảy ra (Ví dụ: lộ lọt tài khoản ứng dụng), chu trình Incident Response của NIST đóng vai trò làm kim chỉ nam để kiểm soát tình hình. Ngoài ra, việc vận hành an toàn trên Cloud đòi hỏi nhận thức rõ về Mô hình trách nhiệm chia sẻ (Shared Responsibility Model). Nhà cung cấp dịch vụ chịu trách nhiệm an ninh hạ tầng cốt lõi, nhưng chính người vận hành mới là bên phải chịu trách nhiệm tối cao về dữ liệu, quản lý phiên và thiết lập cấu hình phân quyền IAM của ứng dụng.