Liên hệ | RSS | VI → EN
SecurityRoadmapLearning PathCloud SecurityCareer

Đọc lại roadmap.sh Cyber Security 2026: góc nhìn cloud sec

roadmap.sh chia con đường cyber security thành 6 khối kỹ năng. Đọc lại đối chiếu với cloud security và Zero Trust, chỗ đúng, chỗ đã cũ, và thứ tự học nếu bắt đầu lại hôm nay.

· 18 phút đọc
  • KhaVan AWS APJ Community Leader 2024 · Co-founder Viet-AWS

TL;DR

roadmap.sh/cyber-security chia con đường học cyber security thành 6 khối kỹ năng: Fundamental IT, Operating Systems, Networking, Security Skills, Cloud, và Programming — kèm hai nhánh phụ là Certifications và CTFs.

Cấu trúc đúng nhưng trọng số đã lệch nếu bạn bước vào nghề năm 2026. Mảng cloud chỉ là một khối nhỏ ở gần cuối, còn identity, chuỗi cung ứng phần mềm, bảo mật AI gần như không xuất hiện. Nếu đọc roadmap như một danh sách tuyến tính, bạn sẽ mất 6 tháng thuộc lòng CompTIA A+ trong khi nhà tuyển dụng đang cần người đọc được một IAM policy và giải thích được sts:AssumeRole hoạt động thế nào.

Bài này đi qua từng khối của roadmap, ghi lại: (1) khối đó thật sự dạy gì, (2) chỗ nào vẫn đúng năm 2026, (3) chỗ nào đã cũ hoặc thiếu, và (4) thứ tự mình sẽ học nếu bắt đầu lại hôm nay — với định hướng cloud security, không phải SOC analyst truyền thống.

Dành cho ai

Bài này dành cho:

  • Người mới vào ngành, đang nhìn roadmap.sh và tự hỏi “có thật sự phải học hết cái này không”.
  • Sinh viên CNTT đang cân nhắc giữa hướng cloud engineer, DevOps, hay security.
  • Kỹ sư đã làm sysadmin/DevOps vài năm, muốn chuyển hướng sang security nhưng không biết bắt đầu từ đâu.
  • Người đang ôn chứng chỉ (Security+, CEH, OSCP…) và muốn biết chứng chỉ đó thật sự đáng không.

Bài này không dành cho: người đã làm security 5+ năm. Bạn đã có bản đồ riêng rồi.

Sau khi đọc, bạn sẽ biết:

  • 6 khối của roadmap.sh thật sự chứa những gì.
  • Khối nào vẫn là nền tảng, khối nào chỉ còn giá trị lịch sử.
  • Những chủ đề roadmap.sh không liệt kê nhưng thị trường năm 2026 đang hỏi.
  • Một thứ tự học 12-18 tháng nếu bạn muốn đi hướng cloud security.

Vì sao lại đọc lại roadmap.sh

Mình không viết bài này để chê roadmap.sh. Đây là tài nguyên miễn phí, cộng đồng duy trì, và thật sự hữu ích cho người mới. Nếu bạn không có mentor, đây vẫn là một trong những điểm khởi đầu đáng tin cậy nhất.

Vấn đề nằm ở bản chất của một roadmap dạng cây: nó liệt kê phạm vi chứ không liệt kê trọng số. Node “WiFi” và node “Zero Trust” trên bản đồ trông bằng nhau, nhưng thời gian cần dành cho hai thứ đó chênh nhau rất xa. Node “CompTIA A+” và node “AWS” trông bằng nhau, nhưng giá trị trên thị trường việc làm không cùng hạng.

Bài này là một lớp phủ lên roadmap — giữ nguyên cấu trúc của roadmap.sh, nhưng gắn thêm trọng số và chú thích dựa trên thực tế đi làm của mình.

Cấu trúc roadmap, nhìn từ xa

6 khối chính, theo thứ tự roadmap.sh gợi ý:

  1. Fundamental IT Skills — phần cứng, hệ điều hành cơ bản, bộ ứng dụng văn phòng, mạng nhập môn.
  2. Operating Systems — Windows, Linux, macOS, ảo hoá.
  3. Networking Knowledge — OSI, subnetting, DNS/DHCP/NAT, giao thức, công cụ xử lý sự cố.
  4. Security Skills and Knowledge — khối lớn nhất: mật mã, quy trình ứng phó sự cố, các kiểu tấn công, hardening, SIEM/SOAR, các framework (NIST/CIS/MITRE), logs.
  5. Cloud Skills and Knowledge — IaaS/PaaS/SaaS, AWS/GCP/Azure, cloud storage, IaC, serverless.
  6. Programming Skills — Python, Go, JavaScript, C++, Bash, PowerShell.

Hai nhánh phụ bám ngang:

  • Certifications (chứng chỉ) — CompTIA A+/Network+/Security+/Linux+, CCNA, rồi CEH, CISA, CISM, GSEC, GPEN, GWAPT, GIAC, OSCP, CREST, CISSP.
  • CTF — HackTheBox, TryHackMe, VulnHub, picoCTF, SANS Holiday Hack.

Cấu trúc này phản ánh một triết lý rõ ràng: học theo lớp, từ dưới lên. Phần cứng → hệ điều hành → mạng → bảo mật → cloud → lập trình. Cách tiếp cận này không sai, nhưng nó đặt cloud và lập trình — hai thứ quyết định khả năng tuyển dụng của bạn năm 2026 — xuống vị trí cuối, rất dễ bị bỏ qua.

Khối 1: Fundamental IT Skills — đọc lướt, không đọc kỹ

Roadmap liệt kê: linh kiện máy tính, các loại kết nối (NFC, Bluetooth, WiFi, Infrared), xử lý sự cố hệ điều hành, các bộ ứng dụng văn phòng (MS Office, iCloud, Google Suite), và mạng cơ bản (subnetting, IP công cộng và riêng tư).

Vẫn đúng năm 2026: hiểu cơ bản về WiFi, Bluetooth, NFC vẫn cần — đặc biệt nếu bạn làm về bề mặt tấn công hoặc bảo mật điểm cuối. Subnetting là nền tảng, không thể né.

Đã cũ hoặc quá mức cần thiết: chi tiết các loại kết nối (Infrared?), cấu hình MS Office/Google Suite. Những thứ này không phải “kỹ năng IT cơ bản” nữa — chúng là kiến thức của người dùng phổ thông. Nếu bạn đã dùng máy tính hằng ngày vài năm, phần lớn khối này đã có rồi.

Nên dành bao lâu: nếu bạn đã quen máy tính, 1-2 tuần để lấp các lỗ hổng mạng cơ bản là đủ. Không cần 3 tháng.

Khối 2: Operating Systems — Linux trước, Windows song song

Roadmap liệt kê ba hệ điều hành (Windows, Linux, macOS) và yêu cầu chung cho mỗi cái: cài đặt, nắm các phiên bản khác nhau, điều hướng GUI và CLI, phân quyền, cài phần mềm, thao tác file, xử lý sự cố, các lệnh thông dụng. Kèm theo là ảo hoá (VMware, VirtualBox, ESXi, Proxmox) và các khái niệm hypervisor, guest OS, host OS.

Vẫn đúng năm 2026:

  • Dòng lệnh Linux là kỹ năng không thay thế được. grep, awk, sed, find, ssh, systemd, iptables/nftables, phân quyền file, quản lý tiến trình.
  • Windows internals cho ai làm bảo mật điểm cuối hoặc điều tra sự cố trên máy trạm Windows: Group Policy, Event Log, PowerShell, Active Directory cơ bản.
  • Ảo hoá vẫn quan trọng, nhưng container quan trọng hơn — và roadmap.sh gần như không nhắc container.

Đã cũ hoặc thiếu:

  • macOS “installation and configuration” — không có công ty nào trả lương cho kỹ năng cài lại macOS.
  • Docker, Kubernetes, bảo mật container runtime — khoảng trống lớn nhất của khối này. Năm 2026, “kỹ năng hệ điều hành” của một kỹ sư security bao gồm cả cách ly container, namespace, cgroup, và chuyện một pod Kubernetes khác gì một máy ảo.
  • eBPF — công nghệ nền của nhiều sản phẩm bảo mật điểm cuối và runtime hiện đại (Falco, Cilium, Tetragon). Không có trên roadmap, nhưng nên biết nó tồn tại.

Nên dành bao lâu: Linux — 2-3 tháng để đạt mức “không sợ dòng lệnh”. Windows — 2-4 tuần cho nền tảng, thêm nếu đi hướng AD/điểm cuối. Container — 1-2 tháng, song song với Linux. Ảo hoá truyền thống (ESXi, Proxmox) — đọc lướt, chỉ đào sâu khi công ty thực sự chạy tại chỗ.

Khối 3: Networking — khối đáng học kỹ nhất

Nếu mình phải chọn một khối của roadmap.sh để học thật sâu, mình chọn khối này.

Roadmap liệt kê: mô hình OSI, subnetting, IP công cộng và riêng tư, CIDR, subnet mask, default gateway, VLAN, DMZ, ARP, NAT, DHCP, DNS, các kiểu topology (Star/Ring/Mesh/Bus), LAN/MAN/WAN/WLAN, các giao thức mạng (Kerberos, RADIUS, LDAP, SSO, SSH, RDP, FTP/SFTP, certificate, HTTP/HTTPS, SSL/TLS), NAS/SAN, và một danh sách dài công cụ xử lý sự cố (ipconfig, ping, dig, nslookup, netstat, nmap, tcpdump, tracert, iptables, route, arp, packet sniffer, port scanner, protocol analyzer).

Vì sao khối này quan trọng hơn phần còn lại:

Gần như mọi việc trong cyber security — từ luật firewall đến chính sách Zero Trust, từ ứng phó sự cố đến cloud security — cuối cùng đều quay về câu hỏi về gói tin: gói tin này đi đâu, qua ai, được ai kiểm tra, ai quyết định cho đi hay chặn. Nếu bạn không đọc được đầu ra tcpdump hoặc không hình dung được TLS handshake gồm những bước gì, phần kiến thức bảo mật phía trên sẽ là học thuộc lòng, chứ không phải hiểu.

Vẫn đúng năm 2026: gần như toàn bộ khối này. DNS, TLS, HTTP, TCP/UDP, NAT, subnetting — không lỗi thời, chỉ có thêm lớp ở trên (QUIC, HTTP/3, mTLS, WebSocket).

Thiếu:

  • BGP và định tuyến động — nếu làm cloud đa vùng hoặc SD-WAN/SASE, BGP không né được.
  • QUIC/HTTP/3 — một phần đáng kể lưu lượng năm 2026 đã đi qua QUIC.
  • mTLS — xuất hiện khắp nơi trong Zero Trust, service mesh, và bảo mật API hiện đại.
  • DNS-over-HTTPS (DoH), DNS-over-TLS (DoT), Encrypted Client Hello (ECH) — làm thay đổi việc secure web gateway còn thấy được những gì.

Nên dành bao lâu: 3-4 tháng học kỹ. Đây là khoản đầu tư dài hạn đáng giá nhất trong cả roadmap.

Khối 4: Security Skills — khối lớn nhất, dễ lạc nhất

Đây là khối lớn nhất của roadmap.sh, và cũng là khối dễ lạc nhất. Nó gom gần như mọi thứ: mật mã, quy trình ứng phó sự cố, các kiểu tấn công, làm cứng hệ thống, SIEM/SOAR, các khung tham chiếu, logs, threat intel, dịch ngược, nhập môn kiểm thử xâm nhập, OWASP Top 10, malware, điều tra số.

Mình chia khối này thành các nhóm nhỏ, kèm trọng số:

Phải biết (nền tảng, không thương lượng)

  • CIA Triad, xác thực và phân quyền, phòng thủ theo chiều sâu, đặc quyền tối thiểu. Không phải để thuộc định nghĩa, mà để dùng được khi tranh luận thiết kế.
  • Mật mã cơ bản: hashing, salting, đối xứng và bất đối xứng, trao đổi khoá, PKI, TLS handshake. Biết SHA-256, AES, RSA, ECDSA là gì và khi nào dùng cái nào.
  • OWASP Top 10 — đọc hết, hiểu ví dụ cho từng mục, biết cách phòng chống. Đây là ngôn ngữ chung của ngành.
  • Quy trình ứng phó sự cố: Chuẩn bị → Phát hiện → Khoanh vùng → Diệt trừ → Phục hồi → Rút kinh nghiệm (Preparation → Identification → Containment → Eradication → Recovery → Lessons Learned). Hiểu vai trò của mỗi bước, và biết sai ở bước nào gây hại gì.
  • Logs phải đọc được: syslog, Windows Event Log, log firewall, packet capture, netflow. Không cần thuộc từng trường, nhưng nhìn vào log phải biết bắt đầu từ đâu.

Phải biết là gì (không cần chuyên sâu)

  • Các khung tham chiếu: NIST CSF, MITRE ATT&CK, Cyber Kill Chain, Diamond Model, ISO 27001, CIS Controls. Biết khi nào dùng cái nào: ATT&CK cho mô hình hoá mối đe doạ và điều tra, NIST CSF cho quản trị, CIS cho làm cứng baseline.
  • Các kiểu tấn công: phishing, tấn công phi kỹ thuật, MITM, SQL injection, XSS, CSRF, DoS/DDoS, buffer overflow, pass-the-hash, leo thang đặc quyền. Biết nguyên lý và một ví dụ cụ thể cho mỗi loại.
  • SIEM/SOAR: khái niệm, khi nào cần, khác nhau ở đâu. Không cần thuộc cấu hình Splunk chi tiết trừ khi đi hướng SOC.
  • Hardening: antivirus và EDR khác nhau gì, firewall (stateful, NGFW), IDS/IPS (NIDS/HIPS), sandbox, vá lỗi, ACL, jump server, Group Policy.

Đọc lướt (có thể bỏ qua giai đoạn đầu)

  • Dịch ngược, buffer overflow, khai thác memory leak — chỉ học kỹ nếu đi hướng red team, viết exploit, hoặc phân tích malware.
  • Các công cụ cụ thể như FTK Imager, Autopsy, winhex, memdump, Joe Sandbox — biết tên là đủ, chỉ học kỹ khi thật sự phải dùng.
  • Phân loại chi tiết các biến thể phishing (smishing, vishing, whaling, whishing, typo-squatting, watering hole) — gộp thành “tấn công phi kỹ thuật”, đừng cố thuộc từng loại.

Thiếu trong roadmap nhưng thực tế năm 2026 đang hỏi nhiều

  • Bảo mật danh tính (identity) — OIDC, OAuth 2.0/2.1, SAML, SCIM, vòng đời token, service principal, workload identity. Roadmap có “SSO, Kerberos, LDAP, RADIUS” nhưng thiếu gần như toàn bộ identity hiện đại.
  • Kiến trúc Zero Trust — roadmap có một node “Core Concepts of Zero Trust” nhưng không có chiều sâu. Thực tế, Zero Trust là khung tổ chức cho cả khối bảo mật.
  • Bảo mật chuỗi cung ứng phần mềm — SBOM, SLSA, ký artifact (Sigstore, cosign), quét phụ thuộc. Sau SolarWinds, Log4Shell, XZ, đây là chủ đề gần như mọi khách hàng doanh nghiệp đang hỏi.
  • Bảo mật AI/LLM — prompt injection, rò rỉ dữ liệu qua LLM, chuỗi cung ứng của model. Chưa đủ chín để thành một khối riêng, nhưng đã đủ lớn để không bỏ qua.
  • Quản lý secret — Vault, KMS trên cloud, Workload Identity Federation. Roadmap gần như không đề cập.

Nên dành bao lâu: 6-9 tháng, song song với các khối khác. Đừng học tuần tự từng node — học theo trục “giả sử một sự cố xảy ra, mình cần gì để điều tra và ứng phó”.

Khối 5: Cloud Skills — khối đáng đẩy lên đầu

Đây là khối roadmap đặt gần cuối, và là chỗ mình không đồng ý nhất.

Roadmap liệt kê: bảo mật trên cloud, cloud và tại chỗ, Infrastructure as Code, serverless, luồng triển khai; các mô hình cloud (SaaS/PaaS/IaaS, Public/Private/Hybrid); các môi trường (AWS, GCP, Azure); và cloud storage (S3, Dropbox, iCloud, Box, OneDrive, Google Drive).

Thực tế năm 2026:

  • Gần như mọi vai trò bảo mật ở cấp mới vào nghề đến tầm trung đều yêu cầu biết ít nhất một nhà cung cấp cloud.
  • Phần lớn sự cố ở doanh nghiệp năm 2026 liên quan đến cấu hình cloud sai, lộ credential, S3 bucket công khai, IAM policy quá rộng, hoặc chuỗi cung ứng trong CI/CD — không phải buffer overflow trên máy chủ tại chỗ.
  • Nhà tuyển dụng hiếm khi hỏi “có CompTIA A+ chưa”. Họ hỏi “đọc được một IAM policy không, giải thích được một chuỗi assume role không”.

Chỗ roadmap đúng: nhận ra cloud là một khối riêng, có nhắc IaC và serverless.

Chỗ roadmap thiếu nhiều:

  • IAM sâu — roadmap không có mục nào về cách IAM policy được đánh giá, trust relationship, permission boundary, session policy, SCP, condition key. Đây là một phần rất lớn trong công việc cloud security thực tế.
  • Cloud Security Posture Management (CSPM) — Prowler, ScoutSuite, Steampipe, hoặc các sản phẩm thương mại (Wiz, Orca, Prisma Cloud). Gần như nhóm cloud security nào cũng có một công cụ dạng này.
  • Cloud Detection and Response (CDR) — phân tích CloudTrail/CloudWatch, GuardDuty, Security Hub, SCC trên GCP.
  • Landing Zone và kiến trúc đa tài khoản — AWS Organizations, Control Tower, Azure Management Groups, GCP folders. Doanh nghiệp thực tế hiếm khi chạy trên một tài khoản.
  • Quản lý secret trong cloud — AWS Secrets Manager, Parameter Store, GCP Secret Manager, Azure Key Vault, HashiCorp Vault.
  • Workload identity — IMDSv2, IRSA trên EKS, Workload Identity trên GKE, Managed Identity trên Azure, Workload Identity Federation giữa các cloud.
  • Bảo mật mạng trong cloud — VPC, security group, NACL, Transit Gateway, endpoint riêng, PrivateLink.

“Cloud storage” liệt kê Dropbox, iCloud, Box, Google Drive — đây là lưu trữ tiêu dùng, không phải cloud storage của doanh nghiệp. Nó không cùng hạng mục với S3.

Nên dành bao lâu: chọn một cloud (với thị trường Việt Nam thường là AWS) và học kỹ 3-4 tháng. Sau đó học cloud thứ hai ở mức đủ đọc được tài liệu (thêm 1-2 tháng).

Một điểm hay bị bỏ qua: khối cloud nên đặt ngay sau mạng, không nên để cuối. Mạng + Linux + một cloud là nhóm kỹ năng đưa bạn vào được nhiều vai trò thực tế hơn so với “mạng + hệ điều hành + 200 node bảo mật khác”.

Khối 6: Programming — bắt buộc, không phải tuỳ chọn

Roadmap liệt kê: Python, Go, JavaScript, C++, Bash, PowerShell.

Năm 2026, nếu muốn làm bảo mật mà không viết code, lựa chọn thu hẹp rất nhanh — chủ yếu còn lại GRC, tuân thủ, kiểm toán. Các vai trò còn lại (cloud security, bảo mật ứng dụng, kỹ sư phát hiện, tự động hoá bảo mật, red team) đều kỳ vọng bạn viết được code.

Thứ tự ưu tiên:

  1. Python — không thương lượng. Viết script tự động hoá, phân tích log, gọi API cloud, viết công cụ nhỏ.
  2. Bash — đi kèm Linux, không cần học riêng, chỉ cần viết được 20-30 dòng script.
  3. PowerShell — cần khi đụng Windows/AD. Nếu không thì bỏ qua.
  4. Go — đang dần trở thành ngôn ngữ mặc định của hạ tầng và công cụ bảo mật (Kubernetes, Terraform, Vault, Sigstore, nhiều CSPM/EDR viết bằng Go). Học sau Python.
  5. JavaScript/TypeScript — cần khi đi hướng bảo mật ứng dụng (OWASP, XSS, chuỗi cung ứng npm). Nếu không thì đọc hiểu là đủ.
  6. C/C++ — chỉ cần nếu đi hướng viết exploit hoặc phân tích malware. Không cần cho phần lớn vai trò cloud security.

Nên dành bao lâu: Python — 2-3 tháng để viết được công cụ nhỏ, rồi dùng nó xuyên suốt phần còn lại của lộ trình. Đừng học Python rồi nhảy sang Go rồi qua C++ mà không làm ra gì — học một ngôn ngữ tới mức giải quyết được việc thật trước khi nhảy sang ngôn ngữ khác.

Chứng chỉ — nên thật sự lấy cái nào

Roadmap liệt kê một danh sách dài: CompTIA A+/Network+/Security+/Linux+, CCNA, CEH, CISA, CISM, GSEC, GPEN, GWAPT, GIAC, OSCP, CREST, CISSP.

Mình chia theo khi nào thực sự đáng đầu tư:

Đáng lấy sớm (mới vào nghề / junior)

  • Security+ — nền rộng, được công nhận cho nhiều vai trò, giá vừa phải. Dùng để vượt qua vòng lọc hồ sơ ở khâu tuyển dụng, chứ không phải để thực sự giỏi.
  • AWS Certified Security - Specialty, SC-100/SC-200 (Azure), hoặc Google Cloud Professional Cloud Security Engineer — nếu đi hướng cloud, những chứng chỉ này đáng hơn Security+ rất nhiều. Không có trên roadmap.sh.

Đáng lấy khi có 2-4 năm kinh nghiệm

  • OSCP — chứng chỉ có giá trị thực tế cao nhất trong danh sách cho hướng tấn công. OSCP đòi hỏi làm thật, không phải học thuộc. Nếu không đi hướng kiểm thử xâm nhập hoặc red team, không cần.
  • CISSP — yêu cầu 5 năm kinh nghiệm, thiên về chiều rộng và quản lý. Đáng khi đang nhắm vai trò lead, kiến trúc sư, hoặc quản lý; không đáng khi còn junior.

Cẩn thận

  • CEH — bị nhiều người trong ngành đánh giá thấp vì nội dung nông và nặng lý thuyết. Xuất hiện trên nhiều mô tả công việc nhưng không chứng minh kỹ năng thật. Nếu công ty bắt buộc thì lấy, không thì để tiền đầu tư chỗ khác.
  • CompTIA A+ — giá trị rất giới hạn cho hướng bảo mật. Nếu đã biết máy tính, đừng mất tiền.

Roadmap thiếu

  • Các chứng chỉ của nhà cung cấp cloud (AWS/Azure/GCP) — thực tế quan trọng hơn nhiều so với phần lớn chứng chỉ trong danh sách hiện tại.
  • (ISC)² CCSP — cloud security, đáng hơn CEH trong phần lớn trường hợp.

Lời khuyên chung: chứng chỉ là dấu hiệu, không phải kỹ năng. Không có hồ sơ GitHub, writeup, hay dự án cá nhân nào thay thế được việc làm được việc thật. Mình đã gặp người có 4 chứng chỉ nhưng không debug được một lỗi kubectl auth can-i.

CTF — có, nhưng đừng biến nó thành sự nghiệp

Roadmap.sh liệt kê HackTheBox, TryHackMe, VulnHub, picoCTF, SANS Holiday Hack Challenge. Đây là gợi ý tốt.

CTF có giá trị gì:

  • Học qua thực hành, không tốn tiền.
  • Cho cảm nhận “tư duy của người tấn công” — cách một người tấn công suy nghĩ.
  • Writeup CTF là hồ sơ năng lực rẻ nhất để chứng minh bạn tự học được.

CTF không thay thế được gì:

  • Không dạy bạn vận hành hệ thống chạy thật — CTF tập trung vào khai thác, không có uptime, không có tuân thủ, không có trực hệ thống.
  • Kỹ năng khai thác trong CTF khó chuyển trực tiếp sang blue team hoặc cloud security.
  • Không ít người dành 2 năm chơi CTF rồi đi phỏng vấn cloud security và không trả lời được câu hỏi cơ bản về IAM.

Dành 3-5 tiếng mỗi tuần cho CTF là hợp lý. Đừng biến nó thành 30 tiếng mỗi tuần nếu hướng đi của bạn không phải tấn công.

Thứ tự học nếu mình bắt đầu lại hôm nay

Với định hướng cloud security, 12-18 tháng:

Tháng 1-2: Linux + mạng cơ bản

Dòng lệnh Linux đến mức không sợ terminal. OSI, TCP/UDP, DNS, HTTP, TLS, subnetting, NAT. Viết được 10-20 dòng Bash.

Tháng 3-4: Python + một nhà cung cấp cloud

Python tới mức viết được công cụ nhỏ. AWS (hoặc Azure/GCP tuỳ thị trường): nắm các dịch vụ lõi (EC2/VPC/S3/IAM/CloudTrail/Lambda), viết được Terraform cho một hạ tầng đơn giản.

Tháng 5-6: Nền tảng bảo mật + IAM sâu

OWASP Top 10, CIA triad, mật mã cơ bản, TLS handshake đầu-cuối. Cách IAM policy được đánh giá, chuỗi assume role, SCP, condition key. Làm lab thật với Prowler hoặc ScoutSuite trên tài khoản cá nhân.

Tháng 7-9: Zero Trust, identity, phát hiện

OIDC/OAuth/SAML/SCIM. Kiến trúc Zero Trust (Cloudflare Access, AWS Verified Access, Google BeyondCorp). CloudTrail + GuardDuty + Security Hub. Ánh xạ MITRE ATT&CK vào cloud (TA0004-TA0010). Viết một luật phát hiện đơn giản.

Tháng 10-12: Container + chuỗi cung ứng phần mềm

Docker, Kubernetes cơ bản, pod security, network policy. CSPM cho cluster (kube-bench, Polaris). Chuỗi cung ứng: SBOM, cosign, SLSA. Bảo mật CI/CD (làm cứng GitHub Actions, OIDC federation).

Tháng 13-18: Chuyên sâu theo hướng

Chọn một: DevSecOps, Cloud Detection & Response, bảo mật ứng dụng, hoặc red team. Đi sâu một hướng dễ xin việc hơn là làm “full-stack security” nông ở mọi thứ.

Xuyên suốt: viết writeup về những gì học được, đăng lên GitHub hoặc blog cá nhân. Một writeup ngắn mỗi hai tuần. Đây là hồ sơ năng lực thật, không thể thay bằng chứng chỉ.

Bài học

Nếu phải rút gọn toàn bộ bài thành 5 dòng:

  • roadmap.sh đúng về phạm vi, nhưng trọng số đã lệch. Dùng nó như bản đồ, không phải danh sách kiểm tra.
  • Mạng + Linux + một cloud là bộ ba nền tảng quan trọng nhất cho 5 năm đầu sự nghiệp cloud security.
  • Identity, chuỗi cung ứng phần mềm, container, và bảo mật IaC là bốn khoảng trống lớn nhất của roadmap năm 2026.
  • Chứng chỉ là dấu hiệu, hồ sơ năng lực và writeup mới là kỹ năng. Đừng đổi thứ tự hai thứ đó.
  • Đi sâu một hướng trước khi thử làm “full-stack security”. Thị trường thưởng chiều sâu hơn chiều rộng cho junior và tầm trung.

Tham khảo

Bài liên quan