Data Security: Encryption, Access Control, và Threat Protection

Tóm tắt cho lãnh đạo

Chi phí trung bình mỗi vụ rò rỉ dữ liệu toàn cầu đạt 4.88 triệu USD (IBM Cost of a Data Breach Report 2024), tăng 10% so với năm trước. Tại Việt Nam, BKAV ghi nhận hơn 13,900 vụ tấn công mạng trong năm 2023, với thiệt hại trung bình 2 triệu USD mỗi vụ cho doanh nghiệp.

Bài viết này trình bày 6 lớp phòng thủ (Defense-in-Depth) mà mọi doanh nghiệp Việt Nam cần triển khai:

• Network Security: VPC, firewall, VPN cô lập hệ thống
• Identity & Access Management: Least privilege, RBAC, MFA
• Encryption: At rest (AES-256), in transit (TLS), column-level cho PII
• Data Masking: Dữ liệu production được che giấu trong môi trường dev/test
• Audit Logging: Theo dõi ai truy cập gì, khi nào, từ đâu
• Backup & Disaster Recovery: Quy tắc 3-2-1, kiểm tra phục hồi định kỳ

Kèm theo: checklist bảo mật 40 mục, incident response plan, và case study fintech Việt Nam ngăn chặn thành công 500K lần tấn công credential stuffing.

Security Triad: ba trụ cột CIA

Mọi chiến lược bảo mật dữ liệu đều xoay quanh ba nguyên tắc nền tảng:

Confidentiality - bảo mật

Đảm bảo chỉ người được ủy quyền mới truy cập được dữ liệu. Các mối đe dọa phổ biến: hacker xâm nhập, đánh cắp credentials, insider threats, và cấu hình sai cloud storage (ví dụ: public S3 bucket).

Biện pháp kiểm soát: encryption, access controls (RBAC, least privilege), MFA, và data classification.

Ví dụ vi phạm tại Việt Nam: Năm 2022, một sàn thương mại điện tử để lộ 2 triệu hồ sơ khách hàng do cấu hình sai S3 bucket, bao gồm tên, email, số điện thoại và địa chỉ.

Integrity - toàn vẹn

Đảm bảo dữ liệu chính xác và không bị chỉnh sửa trái phép. Các mối đe dọa: tấn công chỉnh sửa dữ liệu, lỗi phần mềm, tấn công man-in-the-middle.

Biện pháp kiểm soát: checksums/hashes, digital signatures, version control, write-once storage cho audit logs, input validation chống SQL injection.

Availability - sẵn sàng

Đảm bảo dữ liệu luôn truy cập được khi cần. Các mối đe dọa: ransomware, DDoS, hỏng phần cứng, thiên tai.

Ví dụ tại Việt Nam: Năm 2023, một bệnh viện bị ransomware khóa toàn bộ hồ sơ bệnh nhân trong 3 ngày, phải hủy ca phẫu thuật và trả 50,000 USD tiền chuộc. Bài học: backup là bắt buộc, không có ngoại lệ.

Bối cảnh an ninh mạng Việt Nam

Thống kê đáng lo ngại

Theo báo cáo an ninh mạng Việt Nam 2023 (BKAV, Cục An toàn thông tin):

• Hơn 13,900 vụ tấn công mạng nhắm vào tổ chức Việt Nam
• Mục tiêu hàng đầu: Tài chính (30%), Thương mại điện tử (25%), Chính phủ (20%)
• Loại tấn công phổ biến: Phishing (40%), Ransomware (25%), DDoS (20%)
• Chi phí trung bình mỗi vụ: 2 triệu USD (thấp hơn trung bình toàn cầu 4.88 triệu USD nhưng đang tăng nhanh)
• Ransomware tăng 300% giai đoạn 2020-2023
• 34% vụ rò rỉ xuất phát từ insider threats (Verizon DBIR)

Sự cố nổi bật

• 2022: Sàn thương mại điện tử - rò rỉ 2 triệu hồ sơ khách hàng
• 2023: Ngân hàng - tấn công credential stuffing, 2,500 tài khoản bị xâm nhập
• 2023: Bệnh viện - ransomware, ngưng hoạt động 3 ngày

Khung pháp lý

• Luật An ninh mạng 2018: Yêu cầu lưu trữ dữ liệu trong nước (data localization)
• Nghị định 13/2023/NĐ-CP: Bảo vệ dữ liệu cá nhân (tương tự GDPR)
• Thông tư 03/2017: Yêu cầu an toàn thông tin cho tổ chức tài chính

Tham khảo thêm: Data Governance Framework cho doanh nghiệp Việt Nam để hiểu nền tảng quản trị dữ liệu.

Lớp phòng thủ 1: Network Security

Virtual Private Cloud (VPC)

VPC là mạng riêng biệt trong cloud, giống như data center riêng của bạn. Kiến trúc chuẩn:

VPC (10.0.0.0/16)
├── Public Subnet (10.0.1.0/24)
│   └── Load Balancer → nhận traffic từ internet
├── Private Subnet (10.0.2.0/24)
│   ├── Application Servers → chỉ nhận từ Load Balancer
│   └── Database → CHỈ nhận từ App Servers
└── Internet Gateway
    └── App Servers ra internet qua NAT Gateway (để cập nhật)

Nguyên tắc: Database không bao giờ tiếp xúc trực tiếp với internet.

Firewall và WAF

Network Firewall kiểm soát traffic vào/ra:

# Ví dụ GCP Firewall Rules
rules:
  - name: allow-https
    direction: INGRESS
    allow: tcp:443
    source: 0.0.0.0/0
    target: web-servers

  - name: allow-ssh-from-office
    direction: INGRESS
    allow: tcp:22
    source: 203.162.4.0/24  # Chỉ từ IP văn phòng
    target: all

  - name: deny-all-else
    direction: INGRESS
    action: DENY
    priority: 65534

Web Application Firewall (WAF) bảo vệ chống tấn công web (SQL injection, XSS):

# Cloudflare WAF
rules:
  - name: Block SQL Injection
    expression: (http.request.uri.query contains "UNION SELECT")
    action: block

  - name: Rate Limit Login
    expression: (http.request.uri.path eq "/login")
    action: challenge
    rate_limit: 5 requests per minute

VPN và Zero Trust

Nhân viên làm việc từ xa cần truy cập hệ thống nội bộ qua VPN tunnel mã hóa. Xu hướng mới là Zero Trust Network Access (ZTNA) như Cloudflare Access hoặc Google BeyondCorp, không cần VPN truyền thống, xác thực qua identity provider (Google login + MFA).

Lớp phòng thủ 2: Identity & Access Management (IAM)

Nguyên tắc Least Privilege

Mỗi người dùng chỉ được cấp quyền tối thiểu cần thiết cho công việc:

Data Analyst  → Chỉ đọc bảng analytics
Data Engineer → Đọc/ghi staging, chỉ đọc production
DBA           → Toàn quyền, nhưng cần phê duyệt + audit

Triển khai trong PostgreSQL:

-- Tạo role theo nhóm chức năng
CREATE ROLE analyst;
CREATE ROLE engineer;

-- Analyst: Chỉ đọc schema analytics
GRANT CONNECT ON DATABASE prod_db TO analyst;
GRANT USAGE ON SCHEMA analytics TO analyst;
GRANT SELECT ON ALL TABLES IN SCHEMA analytics TO analyst;

-- Engineer: Đọc/ghi staging, chỉ đọc production
GRANT ALL ON SCHEMA staging TO engineer;
GRANT SELECT ON ALL TABLES IN SCHEMA production TO engineer;

Role-Based Access Control (RBAC)

Gán quyền cho role, không gán cho từng cá nhân. Ví dụ cho công ty thương mại điện tử:

roles:
  cs_agent:           # Customer Service
    - view_customer_profile
    - view_orders
    - issue_refund (duoi 500K VND)
    restricted: khong xem password_hash, payment_details

  marketing_analyst:  # Marketing
    - view_aggregated_analytics
    - create_dashboards
    restricted: PII columns bi masking, khong export raw data

  data_engineer:      # Data Engineering
    - read_write: staging, development
    - read_only: production
    restricted: thay doi production can approval

Multi-Factor Authentication (MFA)

80% vụ rò rỉ liên quan đến password bị đánh cắp hoặc yếu (Verizon). MFA chặn 99.9% tấn công tự động (Microsoft).

Ba yếu tố xác thực:

• Thứ bạn biết: Password
• Thứ bạn có: Điện thoại (mã OTP), hardware token
• Thứ bạn là: Vân tay, nhận diện khuôn mặt

Yêu cầu triển khai:

• Bắt buộc: Admin, DBA, tất cả tài khoản có quyền production
• Khuyến nghị: Toàn bộ nhân viên
• Backup codes: Cung cấp 10 mã dùng một lần phòng mất điện thoại

Service Accounts

Ứng dụng cần truy cập database/API nhưng không có "user" để đăng nhập. Giải pháp: service accounts với rotating keys.

# Best practices cho service accounts
service_accounts:
  - name: app-server-prod
    permissions:
      - read: production.analytics
      - write: production.events
    key_rotation: 90 days
    key_storage: Google Secret Manager (encrypted)
    restrictions:
      - ip_whitelist: [10.0.2.0/24]  # Chi tu ETL servers

Quan trọng: Tuyệt đối không hardcode credentials trong source code. Sử dụng Secret Manager (Google, AWS, Azure) để quản lý secrets.

Lớp phòng thủ 3: Encryption

Encryption At Rest

Mã hóa dữ liệu lưu trên ổ đĩa bằng AES-256 (tiêu chuẩn ngành). Nếu ổ cứng bị đánh cắp, dữ liệu vẫn không đọc được.

Ba cấp độ triển khai:

Full Disk Encryption (cấp hệ điều hành):

# Linux LUKS
cryptsetup luksFormat /dev/sdb
cryptsetup luksOpen /dev/sdb encrypted_disk
mkfs.ext4 /dev/mapper/encrypted_disk

Database Encryption (mã hóa cấp cột cho PII):

-- PostgreSQL pgcrypto
CREATE EXTENSION pgcrypto;

-- Luu tru so dien thoai da ma hoa
INSERT INTO customers (customer_id, email, phone_encrypted)
VALUES (
    1,
    'customer@example.com',
    pgp_sym_encrypt('0912345678', 'encryption_key')
);

-- Giai ma khi can
SELECT pgp_sym_decrypt(phone_encrypted, 'encryption_key') AS phone
FROM customers WHERE customer_id = 1;

Cloud KMS (Customer-Managed Encryption Keys):

# Google Cloud KMS
gcloud kms keyrings create my-keyring --location=asia-southeast1
gcloud kms keys create my-key \
    --keyring=my-keyring \
    --location=asia-southeast1 \
    --purpose=encryption

Encryption In Transit

Mã hóa dữ liệu khi truyền qua mạng bằng TLS/SSL, ngăn chặn tấn công man-in-the-middle.

Các điểm cần mã hóa:

• Website: HTTPS bắt buộc (TLS 1.2+), HSTS header
• Database connections: SSL mode = require
• API calls: Chỉ dùng HTTPS, certificate pinning cho ứng dụng quan trọng

# Ket noi database bat buoc SSL
connection = psycopg2.connect(
    host="db.example.com",
    sslmode="require",
    sslrootcert="/path/to/ca.crt"
)

Column-Level Encryption

Mã hóa riêng từng cột PII thay vì toàn bộ database. Ưu điểm: hiệu suất tốt hơn (chỉ giải mã khi cần) và tuân thủ Nghị định 13/2023.

Kiểm soát truy cập: Marketing analyst truy vấn thấy dữ liệu mã hóa (bytes), chỉ admin có quyền decrypt mới thấy plaintext.

Tham khảo thêm về quản lý metadata: Data Catalog và Metadata Management.

Lớp phòng thủ 4: Data Masking

Static Data Masking

Sao chép dữ liệu production sang môi trường dev/test với PII đã được che giấu:

-- Tao database dev tu production (da masking)
CREATE TABLE customers_dev AS
SELECT
    customer_id,
    'User ' || customer_id AS name,
    'user' || customer_id || '@test.example.com' AS email,
    '09' || substring(md5(customer_id::text), 1, 8) AS phone,
    created_at
FROM customers_prod;

Kết quả: Developer làm việc với dữ liệu thực tế về cấu trúc nhưng không tiếp xúc PII thật.

Dynamic Data Masking

Cùng một database, người dùng khác nhau thấy dữ liệu khác nhau:

-- View voi dynamic masking
CREATE VIEW customers_masked AS
SELECT
    customer_id,
    CASE
        WHEN current_user = 'analyst_role'
        THEN 'User ' || customer_id
        ELSE name
    END AS name,
    CASE
        WHEN current_user = 'analyst_role'
        THEN '***@***.com'
        ELSE email
    END AS email,
    order_total  -- Du lieu tong hop OK
FROM customers;

Analyst thấy dữ liệu tổng hợp, admin thấy dữ liệu đầy đủ, tất cả từ cùng một nguồn.

Lớp phòng thủ 5: Audit Logging

Các sự kiện cần ghi Log

• Xác thực: Đăng nhập/đăng xuất, đăng nhập thất bại, MFA
• Truy cập: Ai truy cập dữ liệu gì, khi nào, từ đâu
• Thay đổi: Các thao tác INSERT, UPDATE, DELETE
• Quản trị: Thay đổi quyền, tạo/xóa user
• Xuất dữ liệu: Download, bulk export
• Lỗi: Truy vấn thất bại, từ chối quyền

Format log chuẩn (JSON):

{
    "timestamp": "2025-06-17T10:30:15Z",
    "event_type": "data_access",
    "user_id": "alice@company.com",
    "resource": "customers_table",
    "action": "SELECT",
    "rows_returned": 1523,
    "ip_address": "203.162.4.191",
    "status": "success"
}

Triển khai Audit Log

PostgreSQL với pgaudit extension:

CREATE EXTENSION pgaudit;
ALTER SYSTEM SET pgaudit.log = 'read, write, ddl, role';
ALTER SYSTEM SET pgaudit.log_parameter = on;
SELECT pg_reload_conf();

Phát hiện bất thường

Sử dụng baseline hành vi để phát hiện truy cập đáng ngờ. Ví dụ: nếu một nhân viên thường truy cập 100 bản ghi/ngày nhưng đột nhiên export 50,000 bản ghi, hệ thống cảnh báo ngay lập tức.

Nguyên tắc phát hiện: truy cập vượt 3 độ lệch chuẩn so với baseline là bất thường, cần điều tra.

Lưu trữ và bảo vệ Log

• Retention: 1-2 năm (theo yêu cầu tuân thủ)
• Immutability: Không thể chỉnh sửa/xóa (chống giả mạo)
• Access control: Chỉ đội bảo mật được xem

# Google Cloud Storage - Bucket Lock cho audit logs
gsutil mb -c STANDARD -l asia-southeast1 gs://audit-logs/
gsutil versioning set on gs://audit-logs/
gsutil retention set 730d gs://audit-logs/  # 2 nam
gsutil retention lock gs://audit-logs/       # Khong the giam

Lớp phòng thủ 6: Backup & Disaster Recovery

Quy tắc 3-2-1

• 3 bản sao dữ liệu (1 chính + 2 backup)
• 2 loại lưu trữ khác nhau (disk + cloud)
• 1 bản off-site (khác vị trí, bảo vệ khỏi cháy/lũ)

Production Database (Ban chinh)
├── Daily Backup   → Cloud Storage (cung region)  - Giu 7 ngay
├── Weekly Backup  → Cloud Storage (khac region)  - Giu 4 tuan
└── Monthly Backup → Archive Storage              - Giu 7 nam

Kiểm tra phục hồi (Test Restore)

40% doanh nghiệp phát hiện backup bị lỗi khi cần phục hồi (nghiên cứu Acronis). Giải pháp: test restore hàng tháng.

Quy trình: Download backup mới nhất, giải mã, restore vào database test, kiểm tra số bảng và số bản ghi, so sánh với giá trị kỳ vọng. Nếu sai lệch, cảnh báo ngay lập tức.

Recovery Objectives

RTO (Recovery Time Objective): Thời gian ngưng hoạt động tối đa chấp nhận được. RPO (Recovery Point Objective): Lượng dữ liệu mất mát tối đa chấp nhận được.

Cloud Security: Shared Responsibility

Khi sử dụng cloud, trách nhiệm bảo mật được chia sẻ:

Trách nhiệm của bạn:

• Phân loại và mã hóa dữ liệu
• Kiểm soát truy cập (IAM, RBAC)
• Bảo mật ứng dụng (lỗ hổng code)
• Quản lý người dùng
• Cấu hình mạng (firewall, VPC)

Trách nhiệm của cloud provider:

• Bảo mật vật lý (data center)
• Bảo trì phần cứng
• Hạ tầng mạng
• Bảo mật hypervisor

Bài học quan trọng: Cloud provider bảo vệ hạ tầng, bạn bảo vệ dữ liệu và quyền truy cập.

Tìm hiểu thêm về kiến trúc data platform: Giới thiệu về Data Platform.

Case Study: Fintech Việt Nam ngăn chặn Credential Stuffing

Bối cảnh

Nền tảng cho vay với 500,000 người dùng, giải ngân 50 triệu USD/tháng. Tháng 3/2025, hacker sử dụng 2 triệu credentials bị rò rỉ từ dark web, thực hiện 500,000 lần đăng nhập trong 24 giờ.

Hệ thống phòng thủ đã cứu họ

Rate Limiting: Giới hạn 5 lần đăng nhập/phút/IP. Kết quả: chặn ngay 480,000 requests (96%).

MFA: 85% người dùng đã bật MFA. Dù password đúng, hacker không vượt được MFA. Kết quả: chặn 99.8% các lần thử còn lại.

Anomaly Detection: Phát hiện mẫu đăng nhập bất thường, ví dụ: user ở Hà Nội 30 phút trước, giờ đăng nhập từ Singapore. Kết quả: cảnh báo đội bảo mật trong 5 phút.

Account Lockout: Sau 5 lần thất bại, khóa tạm 15 phút + gửi email thông báo + yêu cầu CAPTCHA.

Kết quả

• 0 tài khoản bị xâm nhập
• 0 USD thiệt hại tài chính
• Phát hiện và xử lý trong vòng 30 phút

Chi phí bảo mật vs thiệt hại

Chi phí hệ thống bảo mật: khoảng 30,000 USD/năm (MFA 10K, Rate limiting 5K, Anomaly detection 10K, Monitoring 5K). Thiệt hại tiềm tàng nếu không có: hơn 5 triệu USD. ROI: gấp 166 lần.

Compliance Frameworks

ISO 27001

Tiêu chuẩn quốc tế về Information Security Management System (ISMS). Phù hợp cho doanh nghiệp xuất khẩu hoặc làm việc với đối tác quốc tế.

SOC 2

Service Organization Control, đánh giá 5 tiêu chí: Security, Availability, Processing Integrity, Confidentiality, Privacy. Bắt buộc cho công ty SaaS phục vụ khách hàng quốc tế.

Nghị định 13/2023 (PDPA Việt Nam)

Tương tự GDPR, yêu cầu: thu thập dữ liệu có đồng ý, quyền xóa dữ liệu cá nhân, báo cáo rò rỉ trong 72 giờ, chỉ định DPO cho doanh nghiệp xử lý dữ liệu nhạy cảm.

Security Checklist (40 mục)

Network Security (8 mục)

• VPC được cấu hình với public/private subnet
• Database nằm trong private subnet, không tiếp xúc internet
• Firewall rules theo nguyên tắc deny-all-by-default
• WAF bảo vệ ứng dụng web (chống SQL injection, XSS)
• Rate limiting trên tất cả API endpoints
• VPN hoặc ZTNA cho truy cập từ xa
• DDoS protection được bật (Cloudflare, AWS Shield)
• SSL/TLS certificates được tự động gia hạn

Identity & Access Management (10 mục)

• RBAC triển khai cho tất cả hệ thống
• Least privilege: mỗi role chỉ có quyền tối thiểu
• MFA bắt buộc cho admin và tài khoản production
• MFA khuyến nghị cho toàn bộ nhân viên
• Service accounts sử dụng rotating keys (90 ngày)
• Credentials lưu trong Secret Manager (không hardcode)
• Quy trình offboarding: thu hồi quyền ngay khi nhân viên nghỉ
• Password policy: tối thiểu 12 ký tự, complexity requirements
• Session timeout cấu hình hợp lý
• Quarterly access review: rà soát quyền hàng quý

Encryption (6 mục)

• Encryption at rest cho tất cả database (AES-256)
• Encryption in transit bắt buộc (TLS 1.2+)
• Column-level encryption cho PII
• Encryption keys quản lý qua Cloud KMS
• Key rotation định kỳ (90-365 ngày)
• Certificate pinning cho ứng dụng mobile

Data Masking (4 mục)

• PII được masking trong môi trường dev/test
• Dynamic masking cho analyst và marketing
• DLP (Data Loss Prevention) chặn bulk export trái phép
• Data classification: phân loại dữ liệu theo mức độ nhạy cảm

Audit & Monitoring (6 mục)

• Audit logging cho tất cả data access
• Log retention tối thiểu 1 năm
• Log immutability (write-once storage)
• Anomaly detection tự động
• Real-time alerting cho sự kiện bảo mật
• SIEM integration (Security Information and Event Management)

Backup & Recovery (6 mục)

• Quy tắc 3-2-1 được triển khai
• Backup daily tự động và mã hóa
• Off-site backup ở region khác
• Test restore hàng tháng
• RTO/RPO được xác định cho từng hệ thống
• Disaster recovery plan được tài liệu hóa và diễn tập

Incident Response Plan

Khi sự cố xảy ra, thực hiện 6 bước:

Bước 1 - Phát hiện: Monitoring tự động + anomaly detection cảnh báo. Mục tiêu: phát hiện trong vòng 5 phút.

Bước 2 - Ngăn chặn: Cô lập hệ thống bị ảnh hưởng. Chặn IP tấn công. Khóa tài khoản nghi ngờ bị xâm nhập. Mục tiêu: ngăn chặn trong vòng 30 phút.

Bước 3 - Phân tích: Xác định nguyên nhân gốc (root cause). Phạm vi ảnh hưởng. Dữ liệu nào bị tác động.

Bước 4 - Khắc phục: Phục hồi dữ liệu từ backup. Vá lỗ hổng. Đổi tất cả credentials liên quan.

Bước 5 - Thông báo: Thông báo ban lãnh đạo. Thông báo khách hàng bị ảnh hưởng. Báo cáo cơ quan quản lý theo quy định (72 giờ theo Nghị định 13/2023).

Bước 6 - Rút kinh nghiệm: Post-mortem meeting. Cập nhật quy trình phòng ngừa. Cải thiện monitoring và detection.

Kết luận

Data Security không phải là checkbox đánh dấu một lần rồi quên. Đây là quá trình liên tục cải thiện.

7 bài học quan trọng:

• Defense-in-Depth: nhiều lớp bảo vệ, không dựa vào một biện pháp duy nhất
• Encryption là bắt buộc: at rest + in transit
• Access control là nền tảng: least privilege + RBAC + MFA
• Audit mọi thứ: ghi log tất cả truy cập, phát hiện bất thường
• Backup là bảo hiểm: test restore hàng tháng
• Compliance là kết quả của bảo mật tốt: ISO 27001, SOC 2 xác nhận thực hành của bạn
• Chi phí bảo mật luôn nhỏ hơn chi phí rò rỉ: đầu tư 30K USD ngăn thiệt hại hơn 2 triệu USD

Bước tiếp theo cho doanh nghiệp của bạn:

• Đánh giá hiện trạng bảo mật bằng checklist 40 mục phía trên
• Đọc Data Governance Framework để xây nền tảng
• Tìm hiểu Data Catalog cho quản lý metadata
• Triển khai quick wins: MFA, encryption, audit logs
• Đặt lịch tư vấn để được đánh giá bảo mật miễn phí

Bài viết liên quan:

• Data Governance 101: Framework cho Doanh Nghiệp Việt Nam
• Data Catalog: Metadata Management và Discovery
• Giới Thiệu về Data Platform
• Liên hệ tư vấn