Zero Trust — Things Worth Sharing

Zero Trust — Things Worth SharingBài viết gắn tag Zero Trust.https://cloudsecop.net/AWS Security Maturity Model v2: 4 phase áp dụng thực tếhttps://cloudsecop.net/blog/aws-security-maturity-model-v2/https://cloudsecop.net/blog/aws-security-maturity-model-v2/AWS Security Maturity Model v2: 74 kiểm soát chia 4 giai đoạn (Quick Wins, Foundational, Efficient, Optimized), thứ tự nên làm, bẫy thường gặp, ánh xạ vào Organization.Sun, 27 Jul 2025 00:00:00 GMTAWSCloud SecuritySecurity MaturityGovernanceZero TrustKhaVanDLP: pattern, classification và 55% false positivehttps://cloudsecop.net/blog/dlp-data-loss-prevention-deep-dive/https://cloudsecop.net/blog/dlp-data-loss-prevention-deep-dive/DLP đào sâu cho Cloudflare One: tinh chỉnh từ 55% FP về 3%, regex vs Luhn vs context vs EDM, profile CCCD Việt Nam, Gateway HTTP inline vs CASB API.Mon, 30 Jun 2025 00:00:00 GMTCloudflareCloudflare OneDLPData ClassificationZero TrustKhaVanCASB: posture và misconfig SaaS (GWorkspace, M365, SF)https://cloudsecop.net/blog/casb-saas-posture-misconfig/https://cloudsecop.net/blog/casb-saas-posture-misconfig/CASB deep-dive cho Cloudflare One từ 3 lần triển khai: 4 trụ cột Gartner, inline vs API, phản ứng 8000 finding tuần đầu, shadow IT discovery, tenant lock, khi nào KHÔNG dùng CASB.Mon, 23 Jun 2025 00:00:00 GMTCloudflareCloudflare OneCASBSaaS SecurityZero TrustKhaVanBrowser Isolation (RBI): render risky web trong sandbox remotehttps://cloudsecop.net/blog/browser-isolation-rbi-deep-dive/https://cloudsecop.net/blog/browser-isolation-rbi-deep-dive/Browser Isolation deep-dive cho Cloudflare One: kiến trúc remote browser (NVR), kích hoạt isolation, kiểm soát dữ liệu (copy/paste/print/download/keyboard), compliance, chi phí.Thu, 19 Jun 2025 00:00:00 GMTCloudflareCloudflare OneBrowser IsolationRBIZero TrustKhaVanDevice posture và continuous verification mọi requesthttps://cloudsecop.net/blog/device-posture-continuous-verification/https://cloudsecop.net/blog/device-posture-continuous-verification/Device posture đào sâu cho Zero Trust: WARP check (OS, mã hóa ổ đĩa, firewall), EDR (CrowdStrike, SentinelOne, Defender), continuous verification trong Access policy, truy nguyên.Sat, 07 Jun 2025 00:00:00 GMTCloudflareCloudflare OneZero TrustDevice PostureEDRKhaVanDEX: Digital Experience Monitoring và proactive SLOhttps://cloudsecop.net/blog/dex-digital-experience-monitoring/https://cloudsecop.net/blog/dex-digital-experience-monitoring/DEX đào sâu cho Cloudflare One: khi control plane UP mà người dùng thấy chậm, chẩn đoán từng chặng (DNS/TCP/TLS/TTFB), SLO framework, 5 chế độ hỏng DEX không thấy.Fri, 30 May 2025 00:00:00 GMTCloudflareCloudflare OneDEXObservabilityZero TrustKhaVanCloudflare Access vs AWS IAM Identity Center cho team adminhttps://cloudsecop.net/blog/cloudflare-access-vs-aws-iam-idc/https://cloudsecop.net/blog/cloudflare-access-vs-aws-iam-idc/Đừng cố unify Cloudflare Access và AWS IAM Identity Center. Pattern thực dụng: Okta/Entra → SSO cả hai, SCIM provisioning, per-app policy, audit correlation.Thu, 15 May 2025 00:00:00 GMTCloudflareCloudflare OneAWSIdentityZero TrustKhaVanNetwork policy L4: chặn non-HTTP, DoH bypass và app rulehttps://cloudsecop.net/blog/network-policy-l4-non-http/https://cloudsecop.net/blog/network-policy-l4-non-http/Network policy deep-dive: chặn non-HTTP (SSH, RDP, SMTP), chặn DoH bypass DNS filter, app rule cho SaaS, kết hợp WARP, checklist production và playbook siết chặt.Thu, 15 May 2025 00:00:00 GMTCloudflareCloudflare OneGatewayNetworkingZero TrustKhaVanGateway DNS filtering: lớp đầu tiên của Secure Web Gatewayhttps://cloudsecop.net/blog/gateway-dns-filtering/https://cloudsecop.net/blog/gateway-dns-filtering/Gateway DNS deep-dive: kiến trúc resolver, thứ tự policy, DoH per-device vs DNS location per-site, threat intel category, custom list, log SIEM, checklist production.Wed, 30 Apr 2025 00:00:00 GMTCloudflareCloudflare OneGatewayDNSZero TrustKhaVanMental model 4 tầng: Client, Identity, Policy, Resourcehttps://cloudsecop.net/blog/mental-model-client-identity-policy-resource/https://cloudsecop.net/blog/mental-model-client-identity-policy-resource/Khung tư duy cho mọi tính năng Cloudflare One: mỗi request đi qua 4 tầng sinh tín hiệu, policy đánh giá rồi đi tới 1 trong 5 kết quả. Triển khai và truy nguyên dễ hơn nhiều.Sat, 15 Feb 2025 00:00:00 GMTCloudflareCloudflare OneZero TrustArchitectureKhaVanSASE, SSE, Zero Trust, ZTNA: phân biệt thuật ngữ trước khi sa lầyhttps://cloudsecop.net/blog/sase-sse-zero-trust-thuat-ngu/https://cloudsecop.net/blog/sase-sse-zero-trust-thuat-ngu/Ba thuật ngữ dễ dùng lẫn lộn trong RFP, design doc và tiếp thị. Phân biệt phạm vi, thời điểm xuất hiện, cách dùng đúng, và decision tree nhỏ để chọn đúng từ trong từng ngữ cảnh.Tue, 04 Feb 2025 00:00:00 GMTCloudflareCloudflare OneSASESSEZero TrustKhaVanWorkload Identity Federation AWS sang GCP: keyless authhttps://cloudsecop.net/blog/workload-identity-federation-aws-gcp/https://cloudsecop.net/blog/workload-identity-federation-aws-gcp/Workload Identity Federation deep dive: vì sao Service Account Key là anti-pattern, luồng token AWS STS → Google STS, attribute mapping, impersonation, threat model, Terraform.Mon, 27 Jan 2025 00:00:00 GMTCloud SecurityAWSGCPIdentity FederationMulti-CloudZero TrustKhaVanCloudflare One là gì, và vì sao SASE quan trọnghttps://cloudsecop.net/blog/cloudflare-one-la-gi/https://cloudsecop.net/blog/cloudflare-one-la-gi/Một tổng quan thực dụng về Cloudflare One: SASE, SSE, Zero Trust, 6 nhóm sản phẩm chính, cách so sánh với Zscaler/Netskope, và mô hình tư duy cần có trước khi triển khai.Sat, 04 Jan 2025 00:00:00 GMTCloudflareCloudflare OneSASEZero TrustKhaVanGhi chép sau 3 tháng triển khai Zero Trusthttps://cloudsecop.net/blog/zero-trust-notes/https://cloudsecop.net/blog/zero-trust-notes/Những điều thực sự hiệu quả, những thứ không như kỳ vọng, và các bài học vận hành khi triển khai Cloudflare Zero Trust cho tổ chức quy mô hàng ngàn người dùng.Wed, 04 Dec 2024 00:00:00 GMTSecurityZero TrustCloudflareKhaVan