Browser Isolation (RBI): render risky web trong sandbox remote

Q: Trang isolated tải chậm

- Khoảng cách PoP đến origin + client đến PoP. - Test: người dùng truy cập trực tiếp (không isolate) so với RBI, so sánh. - Nếu RBI chậm hơn hẳn: hỗ trợ CF: có thể đang route qua PoP xa.

Q: Copy/paste không hoạt động như kỳ vọng

- Kiểm soát chính sách áp dụng theo phạm vi isolation. - Quyền của browser (OS clipboard API) cũng cần có. - Kiểm tra: cấu hình chính sách, prompt quyền browser, tương thích browser.

Q: Video stream bị vỡ

- RBI không tối ưu cho video codec streaming. - Loại trừ site video khỏi isolation nếu hợp lệ (ví dụ đào tạo công ty). - Phương án khác: chất lượng thấp hơn nhưng chạy được.

Q: Người dùng không vào được app nội bộ ở clientless

- Chuỗi auth: IdP challenge → Access allow → RBI session. - Bất kỳ bước nào fail → truy nguyên theo thứ tự: đăng nhập IdP, khớp chính sách Access, khởi tạo session RBI.

Q: Trang isolated báo lỗi 'session terminated'

- Container timeout mặc định 30 phút rảnh. - Task chạy dài: tăng TTL session. - Giới hạn bộ nhớ: trang nặng có thể vượt container: báo CF.

Q: AI chat paste 'vẫn chạy được'

- Kiểm tra phạm vi chính sách: kích hoạt isolation có khớp không? - Một số tích hợp clipboard đi vòng qua được (Windows share, macOS universal clipboard). - Test incognito: loại trừ extension can thiệp.

TL;DR

Browser Isolation (Remote Browser Isolation, RBI) là lớp cuối của Gateway: thay vì cho browser local render trang web rủi ro, CF render trên browser ở edge và stream pixel/DOM về client. Malware, exploit, phishing page không bao giờ chạy trên máy người dùng.

3 trường hợp sử dụng chính:

Hấp thụ click rủi ro: URL từ email, link lạ → render từ xa, người dùng tương tác qua proxy.
Kiểm soát dữ liệu cho SaaS đã duyệt: cho phép truy cập nhưng tắt download/copy/paste/print.
Truy cập BYOD chỉ qua browser: thiết bị không quản lý truy cập app công ty qua browser isolated, không lưu dữ liệu trên thiết bị.

Bài này đi qua:

Kiến trúc Network Vector Rendering: cách stream trạng thái browser.
Kích hoạt isolation: khi nào tự động isolate.
Kiểm soát dữ liệu: copy/paste/print/download/keyboard input.
Chế độ clientless: không cần WARP.
Lan can AI chat: cảnh báo/isolate ChatGPT/Claude để khớp mẫu DLP.
Mô hình chi phí + hiệu năng.
Quyền riêng tư và compliance.

Luận điểm chính:

Browser Isolation không phải “phương án cuối cùng” mà là kiểm soát chính cho một lớp threat nhất định: zero-day exploit, phishing pixel-perfect, và truy cập BYOD. Không thay thế DLP/CASB; mà là tầng chặn đà lan khi phòng ngừa không chắc.

Bài này là Part 17, mở block Advanced Security (Part 17-20).

Dành cho ai

Kiến trúc sư bảo mật đánh giá nhà cung cấp RBI (CF vs Menlo vs Proofpoint).
IT admin muốn truy cập BYOD mà không compromise dữ liệu.
CISO đối mặt zero-day web exploit, làn sóng phishing.

Bạn nên đã đọc:

Part 12, HTTP filtering + TLS decrypt: Gateway tầng trên.
Part 16, Device posture: BYOD context.

Sau bài này bạn sẽ:

Hiểu NVR (Network Vector Rendering) khác HTML screenshot / DOM mirroring.
Cấu hình kích hoạt isolation theo category, identity, loại file.
Thiết lập kiểm soát dữ liệu: tắt copy/paste/print/download chi tiết.
Triển khai clientless browser cho BYOD.
Biết mô hình chi phí và tác động hiệu năng để lập kế hoạch.

Bài này không nói về gì

So sánh nhà cung cấp RBI chi tiết (Menlo, Proofpoint, Ericom): chỉ nhắc qua.
Vượt browser fingerprinting: ngoài phạm vi.
Headless scraping: trường hợp sử dụng khác.
Virtual Desktop Infrastructure (VDI): mô thức khác.

Khái niệm

RBI (Remote Browser Isolation): browser chạy trên edge/cloud, không trên endpoint. Nội dung web không bao giờ đáp xuống local.
NVR (Network Vector Rendering): kỹ thuật riêng của Cloudflare: stream DOM diff + vector graphics, không phải ảnh pixel.
Pixel push: cách tiếp cận cũ: ảnh chụp màn hình + sự kiện keyboard/mouse. Tốn băng thông, mất mát.
DOM mirroring: browser local parse DOM từ remote, nội dung script vẫn chạy ở local, kém an toàn hơn.
Kích hoạt isolation: rule tự động kích hoạt RBI cho URL khớp mẫu.
Kiểm soát dữ liệu: hạn chế trên tương tác (clipboard, download, print, keyboard input).
Clientless: người dùng không cần WARP, truy cập qua link web portal.

Tại sao RBI

Lớp threat RBI xử lý

Threat class Browser Isolation handles: zero-day browser exploit, pixel-perfect phishing, credential stealer via JS, drive-by download, malicious ad. Prevention layer cannot 100% catch these, containment via RBI.

Zero-day exploit:

Bug mới trong Chrome/Firefox/Safari.
Patch 0-day trễ 1-30 ngày.
Người dùng đáp vào page có exploit → endpoint compromised.
RBI: exploit đáp xuống remote browser → container huỷ sau session → endpoint không bị đụng tới.

Phishing pixel-perfect:

Trang giả đăng nhập Google, Microsoft mà người dùng nhìn không phân biệt được.
Bộ lọc DNS/category có thể chưa kịp bắt.
RBI: người dùng click vẫn render, nhưng keyboard input bị hạn chế/cảnh báo trên trường nhạy cảm.

Drive-by download:

Site load → tự tải file độc hại.
Truyền thống: endpoint AV scan bị động.
RBI: bộ lọc download ở remote browser. File nằm ở edge, tuỳ chọn xem chỉ đọc.

Rò rỉ dữ liệu BYOD:

Laptop cá nhân truy cập Salesforce công ty.
VPN truyền thống: truy cập client đầy đủ, dữ liệu đáp xuống local.
RBI: truy cập qua remote browser, chỉ pixel màn hình, không lưu local, không copy/paste ra ngoài.

Không nên dùng RBI cho

Ứng dụng nội bộ không phơi ra ngoài.
Quy trình cần tích hợp OS local (tải lên file từ đĩa local).
Cộng tác thời gian thực (audio/video vỡ trong RBI).

Kiến trúc: Network Vector Rendering

Network Vector Rendering kiến trúc: client connects to CF edge, edge spawns remote Chromium browser, browser fetches origin. NVR streams vector graphic commands plus DOM diff to client, which renders locally. Keyboard and mouse events stream back. No content executes on client.

Luồng NVR từng bước

Client (Chrome/Safari/Firefox, không cần plugin) mở URL qua Gateway.
Gateway khớp chính sách isolation → chuyển hướng tới RBI endpoint.
RBI edge khởi tạo Chromium container (phù du).
Chromium từ xa fetch origin, render DOM.
NVR engine bắt vector draw commands (shape, text, image) + DOM diff.
Stream tới client qua WebSocket.
Thin render engine phía client vẽ vector + DOM trên canvas.
Sự kiện keyboard/mouse từ client stream về remote browser.
Session kết thúc → container bị huỷ, trạng thái mất.

So với các cách truyền thống

Cách tiếp cận	Nội dung ở local?	Băng thông	Tương thích	Bảo mật
Pixel push	Không	Cao (video stream)	Thấp (browser quirk mất)	Xuất sắc
DOM mirroring	Có (DOM + JS)	Thấp	Cao	Trung bình (JS vẫn chạy local)
NVR (CF)	Không có mã thực thi	Trung bình	Cao	Xuất sắc

Điểm ngọt của NVR: dữ liệu vector được truyền nhưng không có script thực thi phía client. Trải nghiệm người dùng ~ native; bảo mật ~ pixel.

Hiệu năng

Độ trễ thêm vào: 20-100ms thông thường (phụ thuộc khoảng cách PoP đến origin).
Băng thông: 0.5-2 Mbps cho browsing web thông thường.
CPU trên client: thấp (chỉ vẽ canvas đơn giản).
Video streaming: chạy được nhưng chất lượng giảm (RBI không tối ưu cho video).

Kích hoạt isolation

Isolation triggers decision tree: unknown URL category, risky category, specific file type download, AI chat domain, BYOD device posture, explicit user flag. Each triggers browser isolation with different data control presets.

1. Theo category

policy: "Isolate uncategorized sites"
action: isolate
condition: |
  http.request.uri.host.category in {"Unknown", "Newly Registered Domain"}
data_controls: ["no_download", "no_copy", "no_keyboard_input_sensitive"]

Uncategorized + NRD bao phủ zero-day phishing (chưa kịp phân loại).

2. Category rủi ro

policy: "Isolate risky category"
action: isolate
condition: |
  http.request.uri.host.category in {
    "File Sharing", "Proxy Anonymizer", "Adult", "Questionable"
  }

Cho phép truy cập nhưng contain.

3. Loại file tải xuống

policy: "Isolate download risky files"
action: isolate
condition: |
  http.response.uri.path matches ".*\\.(exe|msi|dmg|bat|ps1|iso|img|zip)$"
data_controls: ["scan_then_allow_download", "preview_only_pdf"]

File đi qua AV scan trong remote sandbox, người dùng chọn xem trước hoặc release.

4. Lan can AI chat

policy: "Isolate AI chat with DLP"
action: isolate
condition: |
  http.request.uri.host in {"chat.openai.com", "claude.ai", "gemini.google.com"}
data_controls: ["no_copy_paste_in", "warn_keyboard_input"]

Tắt paste từ clipboard local vào AI chat → ngăn xả vô tình source code / PII.

5. BYOD / posture thấp

policy: "BYOD browser access"
action: isolate
condition: |
  identity.device_posture not in {"corporate-managed"}
  and http.request.uri.host matches "*.company.com"
data_controls: ["no_download", "no_copy", "no_print", "watermark"]

BYOD truy cập ứng dụng nội bộ mà không lưu dữ liệu.

6. Tín hiệu rủi ro người dùng tường minh

policy: "Isolate high-risk user"
action: isolate
condition: |
  identity.groups in {"Compromised-Investigation"}
  # Group set by SOC after phishing click detect

Cách ly nhẹ: người dùng vẫn chạy nhưng mọi web được render từ xa để giám sát.

Kiểm soát dữ liệu

Data control matrix: copy from isolated to local (blocked/allowed), paste from local to isolated, download file, print, screenshot, keyboard input to sensitive field, upload file. Each control independent togglable per policy.

Danh sách kiểm soát

Kiểm soát	Là gì	Tình huống dùng
Copy clipboard	Người dùng copy từ trang isolated → clipboard local	Chặn cho BYOD, cho phép với app nội bộ được duyệt
Paste clipboard	Clipboard local → trang isolated	Chặn cho AI chat + form nhạy cảm
Download	File từ trang isolated → local	Quét rồi cho phép, hoặc chặn hoàn toàn
Upload	File local → trang isolated	Chặn cho BYOD
Print	In nội dung trang	Chặn mặc định (vector rò rỉ)
Screenshot	Chụp màn hình OS local của canvas isolated	Hạn chế (overlay watermark)
Keyboard input	Gõ vào trường nhạy cảm (password trên phishing page)	Tắt / cảnh báo
Right-click menu	Lưu ảnh, xem source	Giới hạn chỉ tuỳ chọn an toàn

Ví dụ cấu hình: BYOD chặt

data_controls:
  copy_clipboard: deny
  paste_clipboard: deny
  download: deny
  upload: deny
  print: deny
  keyboard_sensitive_fields: allow
  watermark: enabled
  watermark_text: "{user_email} - {timestamp}"

Ví dụ cấu hình: thoáng nhưng có giám sát

data_controls:
  copy_clipboard: allow
  paste_clipboard: allow
  download: scan_then_allow
  upload: allow
  print: warn
  watermark: disabled

Chế độ tải xuống

Block: không cho tải xuống.
Scan-then-allow: file giữ ở edge, AV scan, release nếu sạch.
Preview only: PDF/Office xem được trong remote browser, không copy về local.
Protect: file được release với sensitivity label AIP/Purview.

Watermark

Overlay email người dùng + timestamp trên nội dung render. Ảnh chụp màn hình vẫn lộ ai là người leak. Răn đe, không phải phòng ngừa.

Chế độ clientless

ZTNA truyền thống: người dùng có WARP client. Clientless = truy cập qua link browser, không cần cài.

Trường hợp sử dụng

Nhân sự thuê ngoài / đối tác cần truy cập app giới hạn, không muốn cài.
Truy cập khẩn cấp (WARP bị lỗi).
BYOD phone/tablet, cài WARP bất tiện.
Thiết bị kiosk dùng chung.

Luồng

Người dùng vào https://{tenant}.cloudflareaccess.com/{app-path}.
Access challenge: đăng nhập IdP (SSO) hoặc OTP qua email.
Sau xác thực chuyển hướng → RBI session.
Mọi traffic sau đó đi qua RBI.

Cấu hình

application: "Internal wiki"
clientless_access:
  enabled: true
  auth_methods: ["google-workspace", "otp-email"]
  session_duration: "8h"
  data_controls: ["no_download", "no_copy", "watermark"]
  ux: "full-screen browser"

Giới hạn của clientless

Chỉ HTTP/HTTPS. SSH/RDP cần WARP.
Không có kiểm tra posture (không agent trên thiết bị).
Link không tự nhận diện người dùng → người dùng phải vào portal.
Gánh nặng hiệu năng cộng thêm gánh nặng RBI.

Đánh đổi bảo mật

Không có khả năng quan sát endpoint → không biết thiết bị có compromise hay không.
RBI làm giảm rủi ro (không có mã thực thi local).
Kết hợp với MFA + TTL session ngắn + kiểm soát dữ liệu chặt.

Lan can AI chat: trường hợp sử dụng nổi bật

Vấn đề

Nhân viên paste source code / PII vào ChatGPT → leak sang nhà cung cấp.
Chặn = mất năng suất (AI thật sự hữu ích).
Cho phép = rủi ro DLP.

Giải pháp RBI

policy: "AI chat guardrail"
action: isolate
condition: |
  http.request.uri.host in {"chat.openai.com","claude.ai","gemini.google.com","copilot.microsoft.com"}
data_controls:
  paste_clipboard: deny             # no paste IN → no accidental dump
  copy_clipboard: allow             # can copy OUT (output of AI)
  upload: deny                      # no file upload
  download: allow                   # can download AI-generated artifact
  keyboard_input: warn_on_sensitive # warn if typing looks like SSN/creditcard
  dlp_scan: enabled                 # scan keyboard input for PII pattern
  watermark: enabled
warn_page: |
  AI assistants are allowed with guardrails.
  - Paste disabled to prevent accidental secret/code leak.
  - Keyboard input scanned for PII patterns.
  - Do not type customer data.

Trải nghiệm người dùng

Mở ChatGPT → session isolated tự động.
Gõ chạy bình thường.
Ctrl+V bị chặn với thông báo “Paste disabled per IT policy”.
Gõ số thẻ credit card → warn overlay “Potential sensitive data, cancel?”
Phản hồi của AI có thể copy ra bình thường (sản phẩm công việc).

Đo hiệu quả

Log: paste_denied_count, keyboard_dlp_warn_count.
Số thấp (= người dùng đã nhận thức) → cho phép thêm.
Cao + kéo dài (= từ chối chính sách) → điều tra người dùng.

Mô hình chi phí và hiệu năng

Yếu tố chi phí

Giấy phép theo người dùng (tier RBI).
Phút session: một số bảng giá phân tier theo phút isolated hoạt động.
Băng thông: luồng dữ liệu client ↔ edge.
Compute: remote browser mỗi session.

Mô hình giá (minh hoạ)

CF Zero Trust Standard gồm X isolated-user-minute/tháng.
Vượt quota: phụ phí theo user-minute.
Tier full-isolation (mọi trang đều isolate) đắt hơn.

Chiến lược kiểm soát chi phí

Isolation theo kích hoạt (category rủi ro, URL cụ thể) thay vì luôn isolate.
Theo thời gian: isolate chỉ ngoài giờ hành chính.
Phân tầng theo nhóm người dùng: nhân sự thuê ngoài luôn isolate; nhân viên chính thức tin cậy mặc định.

Tinh chỉnh hiệu năng

Chọn PoP gần người dùng nhất để RTT client-edge ngắn hơn.
Vị trí địa lý origin: origin xa RBI PoP = tải ban đầu chậm.
Site video streaming → cân nhắc loại trừ (YouTube cho phép trực tiếp, chỉ isolate video trả phí nếu có lo ngại bảo mật).

Đo lường

Thời gian đến first paint: session RBI load.
Độ trễ tương tác: gõ → độ trễ render.
Mục tiêu: < 300ms thấy tự nhiên, < 500ms chấp nhận được, > 1s khó chịu.

Privacy và compliance

Dữ liệu được xử lý

URL đã truy cập.
Input gõ vào (password, search, form).
Nội dung màn hình được render.
Audio/video nếu bật.

Cách Cloudflare xử lý dữ liệu

Phù du: container remote browser bị huỷ sau mỗi session.
Log siêu dữ liệu: URL, timing được giữ theo cấu hình Logpush.
Nội dung: không lưu (trừ kiểm soát dữ liệu tường minh như scanned download).

Lưu ý pháp lý

Minh bạch: người dùng biết đang duyệt qua RBI.
Đồng thuận: BYOD cần đồng thuận tường minh.
Phạm vi: loại trừ banking/health cá nhân khỏi isolation (quyền riêng tư).
Data residency: lựa chọn PoP RBI ảnh hưởng đường đi dữ liệu (dữ liệu EU → PoP EU).

Góc compliance

PCI DSS: RBI cho môi trường dữ liệu chủ thẻ truy cập từ endpoint không đáng tin = kiểm soát bù trừ (có tài liệu, assessor dễ chấp nhận).
HIPAA: truy cập ePHI qua RBI với no-download + no-copy = biện pháp bảo vệ hợp lý.
SOC 2: watermark + log session hỗ trợ bằng chứng kiểm soát truy cập.

Troubleshooting

”Trang isolated tải chậm”

Khoảng cách PoP đến origin + client đến PoP.
Test: người dùng truy cập trực tiếp (không isolate) so với RBI, so sánh.
Nếu RBI chậm hơn hẳn: hỗ trợ CF: có thể đang route qua PoP xa.

”Copy/paste không hoạt động như kỳ vọng”

Kiểm soát chính sách áp dụng theo phạm vi isolation.
Quyền của browser (OS clipboard API) cũng cần có.
Kiểm tra: cấu hình chính sách, prompt quyền browser, tương thích browser.

”Video stream bị vỡ”

RBI không tối ưu cho video codec streaming.
Loại trừ site video khỏi isolation nếu hợp lệ (ví dụ đào tạo công ty).
Phương án khác: chất lượng thấp hơn nhưng chạy được.

”Người dùng không vào được app nội bộ ở clientless”

Chuỗi auth: IdP challenge → Access allow → RBI session.
Bất kỳ bước nào fail → truy nguyên theo thứ tự: đăng nhập IdP, khớp chính sách Access, khởi tạo session RBI.

”Trang isolated báo lỗi ‘session terminated’”

Container timeout mặc định 30 phút rảnh.
Task chạy dài: tăng TTL session.
Giới hạn bộ nhớ: trang nặng có thể vượt container: báo CF.

”AI chat paste ‘vẫn chạy được’”

Kiểm tra phạm vi chính sách: kích hoạt isolation có khớp không?
Một số tích hợp clipboard đi vòng qua được (Windows share, macOS universal clipboard).
Test incognito: loại trừ extension can thiệp.

Đánh đổi và design decisions

Quyết định	Phương án A	Phương án B	Khuyến nghị
Phạm vi isolation	Theo kích hoạt	Luôn isolate mọi thứ	Theo kích hoạt. “Isolate all” = chi phí + gánh nặng độ trễ cho traffic ít rủi ro.
Kiểm soát dữ liệu	Chặt (deny all)	Thoáng (allow most)	Theo app + tầng posture. Chặt cho BYOD, thoáng cho app nội bộ + tin cậy.
Clientless vs client	Chỉ clientless	Bắt buộc WARP	Cả hai. Clientless cho nhân sự thuê ngoài / khẩn cấp; WARP cho dùng hàng ngày.
AI chat	Chặn	Isolate + lan can	Isolate. Chặn = ảnh hưởng năng suất.
Quét download	Chặn	Quét rồi cho phép	Quét rồi cho phép. Chặn phá quy trình hợp lệ.
Watermark	Tắt	Luôn bật cho BYOD	Luôn bật cho BYOD + nhân sự thuê ngoài. Răn đe xứng đáng với chút rối UX.

Danh sách kiểm tra: production RBI

Chính sách:

Định nghĩa kích hoạt isolation (category, loại file, AI chat, BYOD).
Kiểm soát dữ liệu theo tầng app.
Watermark được bật cho BYOD.
Quyết định chế độ tải xuống (chặn / quét rồi cho phép).

Clientless:

Cấu hình portal clientless cho app đích.
Phương thức xác thực (IdP + OTP dự phòng).
TTL session đã đặt (4-8h điển hình).

UX:

Chọn PoP tối ưu cho vị trí người dùng.
Warn page tuỳ biến (thương hiệu + helpdesk).
Block page có giải thích thân thiện.

Chi phí:

Baseline usage đo được (user-minute/tháng).
Cảnh báo khi quota tiêu thụ 80%.
Rà soát phạm vi kích hoạt hàng quý.

Quyền riêng tư:

Thông báo cho người dùng về RBI trong privacy notice.
Loại trừ danh mục cá nhân/nhạy cảm khỏi isolation.
Đồng thuận BYOD.
PoP theo data residency.

Giám sát:

Log cho session start/end, sự kiện kiểm soát dữ liệu.
Cảnh báo SIEM cho: tăng vọt paste bị từ chối, download scan + malware, tỉ lệ lỗi session.
Dashboard: tỉ lệ kích hoạt isolation được chạm.

Vận hành:

Runbook: app vỡ trong RBI → xử lý ngoại lệ.
Test tương thích app hàng quý (Salesforce, cập nhật M365).
Đào tạo người dùng: RBI là gì, vì sao cần.

Bài học thực tế

Bắt đầu với kích hoạt hẹp. “Isolate NRD + Unknown category + AI chat” là 3 kiểm tra tối thiểu phủ threat giá trị cao. Full-everything = than phiền người dùng, chi phí tăng vọt.
Trường hợp sử dụng AI chat là ROI cao nhất. Nhân viên hài lòng có AI. Bảo mật hài lòng có lan can. Compliance hài lòng có log.
Truy cập BYOD là tính năng killer. Clientless RBI + watermark + no-download = nhân sự thuê ngoài truy cập được mà không phải đụng tới posture endpoint.
Cảm nhận hiệu năng quan trọng hơn số đo. Thêm 300ms độ trễ người dùng phát hiện được. 150ms chấp nhận được. Tinh chỉnh PoP.
Quy trình video bị vỡ. Site đào tạo, YouTube embed, Zoom web client: test trước khi bật rộng. Danh sách ngoại lệ trước khi ra mắt.
Sắc thái chính sách copy/paste. “Chặn paste IN, cho phép copy OUT” là điểm ngọt cho AI chat: ngăn xả, cho phép dùng đầu ra.
Watermark thiên về tâm lý hơn kỹ thuật. OCR ảnh chụp màn hình bỏ qua được. Nhưng biết mình bị watermark = thay đổi hành vi. Đáng với chút pixel.
Đừng isolate banking/health/cá nhân. Kể cả trên thiết bị công ty. Chi phí pháp lý + lòng tin = chặn nhẹ hơn isolate.

Kết luận

RBI là tầng chặn đà lan khi phòng ngừa không chắc. Không thay DLP/CASB/Gateway tầng dưới, mà là lưới an toàn cho lớp threat mà lớp khác miss (zero-day, phishing pixel-perfect, quy trình BYOD).

Công thức production:

Isolation theo kích hoạt (category, loại file, AI, BYOD).
Kiểm soát dữ liệu theo tầng app + posture.
Clientless cho nhân sự thuê ngoài/khẩn cấp/BYOD.
Lan can AI: từ chối paste + quét keyboard DLP.
Watermark + log để răn đe + kiểm toán.

Nếu phải nhớ một câu:

Browser Isolation biến web rủi ro thành sandbox chỉ xem. Phòng ngừa không bắt được thì chặn đà lan đỡ. Không dùng cho mọi thứ, dùng đúng phạm vi, chi phí và UX chấp nhận được.

Trong Part 18 tiếp tục Advanced Security với CASB, Cloud Access Security Broker: tích hợp API với SaaS (Google Workspace, M365, Salesforce), đánh giá posture, khám phá shadow IT, và kiểm soát inline (qua Gateway) so với API scan.

Tài liệu tham khảo

Trong series này:

← Part 16: Device posture
Tiếp theo → Part 18: CASB
Xem toàn bộ: Series Cloudflare One Handbook