Cloudflare One — Things Worth Sharing

Email Security: chặn phishing, BEC, và bài toán DMARC forwarder

KhaVan — Tue, 08 Jul 2025 00:00:00 GMT

Email Security deep-dive cho Cloudflare One: MX inline vs API journaling, bẫy DMARC forwarder/subdomain docs không nói, FP homoglyph, user report → retract < 1h tự động.

DLP: pattern, classification và 55% false positive

KhaVan — Mon, 30 Jun 2025 00:00:00 GMT

DLP đào sâu cho Cloudflare One: tinh chỉnh từ 55% FP về 3%, regex vs Luhn vs context vs EDM, profile CCCD Việt Nam, Gateway HTTP inline vs CASB API.

CASB: posture và misconfig SaaS (GWorkspace, M365, SF)

KhaVan — Mon, 23 Jun 2025 00:00:00 GMT

CASB deep-dive cho Cloudflare One từ 3 lần triển khai: 4 trụ cột Gartner, inline vs API, phản ứng 8000 finding tuần đầu, shadow IT discovery, tenant lock, khi nào KHÔNG dùng CASB.

Browser Isolation (RBI): render risky web trong sandbox remote

KhaVan — Thu, 19 Jun 2025 00:00:00 GMT

Browser Isolation deep-dive cho Cloudflare One: kiến trúc remote browser (NVR), kích hoạt isolation, kiểm soát dữ liệu (copy/paste/print/download/keyboard), compliance, chi phí.

Device posture và continuous verification mọi request

KhaVan — Sat, 07 Jun 2025 00:00:00 GMT

Device posture đào sâu cho Zero Trust: WARP check (OS, mã hóa ổ đĩa, firewall), EDR (CrowdStrike, SentinelOne, Defender), continuous verification trong Access policy, truy nguyên.

DEX: Digital Experience Monitoring và proactive SLO

KhaVan — Fri, 30 May 2025 00:00:00 GMT

DEX đào sâu cho Cloudflare One: khi control plane UP mà người dùng thấy chậm, chẩn đoán từng chặng (DNS/TCP/TLS/TTFB), SLO framework, 5 chế độ hỏng DEX không thấy.

Logs pipeline: Logpush, R2, SIEM và cross-layer correlation

KhaVan — Fri, 23 May 2025 00:00:00 GMT

Logs deep-dive cho Cloudflare One: các dataset, Logpush (R2/S3/Splunk/Sentinel), tương quan đa tầng, retention hot/warm/cold, kiểm soát chi phí, rule phát hiện SIEM mẫu.

Cloudflare Access vs AWS IAM Identity Center cho team admin

KhaVan — Thu, 15 May 2025 00:00:00 GMT

Đừng cố unify Cloudflare Access và AWS IAM Identity Center. Pattern thực dụng: Okta/Entra → SSO cả hai, SCIM provisioning, per-app policy, audit correlation.

Network policy L4: chặn non-HTTP, DoH bypass và app rule

KhaVan — Thu, 15 May 2025 00:00:00 GMT

Network policy deep-dive: chặn non-HTTP (SSH, RDP, SMTP), chặn DoH bypass DNS filter, app rule cho SaaS, kết hợp WARP, checklist production và playbook siết chặt.

Gateway HTTP filtering và TLS decryption: khi DNS không đủ

KhaVan — Sun, 11 May 2025 00:00:00 GMT

HTTP inspection deep-dive: cài root CA (MDM, GPO), cạm bẫy cert pinning, mẫu DLP, tenant CASB, lan can pháp lý/quyền riêng tư, playbook triển khai, checklist production.

Gateway DNS filtering: lớp đầu tiên của Secure Web Gateway

KhaVan — Wed, 30 Apr 2025 00:00:00 GMT

Gateway DNS deep-dive: kiến trúc resolver, thứ tự policy, DoH per-device vs DNS location per-site, threat intel category, custom list, log SIEM, checklist production.

Magic WAN: kết nối site và cloud qua Cloudflare backbone

KhaVan — Sat, 26 Apr 2025 00:00:00 GMT

Magic WAN deep-dive: tunnel network-layer thay SD-WAN/MPLS. 4 tuỳ chọn tunnel (IPsec, GRE, Anycast IP, CNI), BGP peering, multi-cloud, Magic Firewall, playbook chuyển đổi.

WARP client và device enrollment flow

KhaVan — Thu, 10 Apr 2025 00:00:00 GMT

Kiến trúc WARP, enrollment, device posture (built-in vs CrowdStrike/Intune), split tunnel 2 chế độ, Local Domain Fallback, DNS, triển khai MDM, truy nguyên 6 trường hợp.

Cloudflare Tunnel deep-dive: đưa internal service ra ngoài

KhaVan — Sun, 30 Mar 2025 00:00:00 GMT

Kiến trúc daemon cloudflared, ingress rules, HA replicas, protocol non-HTTP (SSH/RDP/SMB), chuyển từ VPN, truy nguyên 6 trường hợp. Tunnel là nền tảng kết nối cho Zero Trust.

SCIM và group sync: tự động off-board khi nhân viên nghỉ

KhaVan — Sat, 22 Mar 2025 00:00:00 GMT

SCIM giải quyết cửa sổ lỗi thời: IdP đẩy cập nhật thời gian thực thay vì CF kéo claim khi đăng nhập. Thiết lập SCIM cho Okta/Entra/Google, vòng đời người dùng, xung đột.

Service tokens và mTLS: authentication cho CI/CD, bot, device

KhaVan — Tue, 11 Mar 2025 00:00:00 GMT

Khi client không phải người dùng. Phân biệt service token vs mTLS, cách thiết lập cả hai, chiến lược rotate, audit log, và anti-pattern phổ biến.

Integrate IdP: Okta, Entra ID, Google Workspace, SAML generic

KhaVan — Fri, 07 Mar 2025 00:00:00 GMT

Ma trận 4 IdP phổ biến với Cloudflare Access: OIDC vs SAML, cạm bẫy group claim, claim mapping, group sync timing, pattern multi-IdP, checklist trước production.

Cloudflare Access: ZTNA cơ bản trong 30 phút

KhaVan — Sun, 23 Feb 2025 00:00:00 GMT

Thay VPN cho ứng dụng nội bộ bằng Cloudflare Access: giải phẫu, luồng đăng nhập, 5 bước thiết lập (app, IdP, policy, Tunnel, test), thứ tự đánh giá policy, truy nguyên.

Mental model 4 tầng: Client, Identity, Policy, Resource

KhaVan — Sat, 15 Feb 2025 00:00:00 GMT

Khung tư duy cho mọi tính năng Cloudflare One: mỗi request đi qua 4 tầng sinh tín hiệu, policy đánh giá rồi đi tới 1 trong 5 kết quả. Triển khai và truy nguyên dễ hơn nhiều.

SASE, SSE, Zero Trust, ZTNA: phân biệt thuật ngữ trước khi sa lầy

KhaVan — Tue, 04 Feb 2025 00:00:00 GMT

Ba thuật ngữ dễ dùng lẫn lộn trong RFP, design doc và tiếp thị. Phân biệt phạm vi, thời điểm xuất hiện, cách dùng đúng, và decision tree nhỏ để chọn đúng từ trong từng ngữ cảnh.

Cloudflare One là gì, và vì sao SASE quan trọng

KhaVan — Sat, 04 Jan 2025 00:00:00 GMT

Một tổng quan thực dụng về Cloudflare One: SASE, SSE, Zero Trust, 6 nhóm sản phẩm chính, cách so sánh với Zscaler/Netskope, và mô hình tư duy cần có trước khi triển khai.

cloudflared internals — build from source, ingress patterns, debugging

KhaVan — Sat, 23 Nov 2024 00:00:00 GMT

Build cloudflared từ Go source, ingress.yaml advanced patterns (path routing, HTTP/2, origin cert), tunnel info JSON cho monitoring, top 5 debug technique.

Boringtun: WireGuard userspace cho WARP — tại sao nhanh hơn corporate VPN

KhaVan — Tue, 19 Nov 2024 00:00:00 GMT

Boringtun Rust userspace WireGuard, kiến trúc bên trong WARP client, vì sao userspace WG thắng kernel module ở mobile/edge, MASQUE evolution.