DevOps
8 bài viết
Nhập môn bảo mật ứng dụng cho hệ thống dữ liệu/API ngân hàng: CIA triad + AAA, tư duy tấn công, attack surface, least privilege, defense in depth. Giới thiệu threat modeling với STRIDE, shift-left/DevSecOps và lộ trình toàn series bám theo OWASP.
OWASP và OWASP Top 10 2021 là gì. Đi qua từng nhóm rủi ro A01–A10 với ví dụ tấn công, tác động và cách phòng cốt lõi, dùng làm bản đồ ưu tiên và checklist cho ứng dụng/API dữ liệu ngân hàng.
Đào sâu hai nhóm rủi ro nguy hiểm nhất với ứng dụng dữ liệu ngân hàng: A03 Injection (SQL injection, XSS, command/LDAP/NoSQL/template injection) và A07 Auth Failures. Giải thích cơ chế tấn công, và cách phòng cốt lõi — parameterized query, output encoding, hash mật khẩu mạnh, chống brute-force, MFA và quản lý session an toàn.
Đào sâu hai rủi ro đứng đầu OWASP: A01 Broken Access Control (IDOR/BOLA, leo thang quyền, path traversal) và A02 Cryptographic Failures (mã hoá at-rest/in-transit, TLS, quản lý khoá). Nguyên tắc phòng thủ và bối cảnh dữ liệu ngân hàng.
Quản lý bí mật (secret) và bảo mật chuỗi cung ứng phần mềm: rủi ro hardcode secret và rò rỉ qua git history, giải pháp secret manager (Vault/KMS) và secret scanning; A06 thành phần dễ tổn thương và A08 tính toàn vẹn — SCA, SBOM, pin version, ký & xác minh artifact (Sigstore/SLSA). Bối cảnh ngân hàng.
API là bề mặt tấn công chính của hệ thống dữ liệu hiện đại. Bài đi qua toàn bộ OWASP API Security Top 10 (2023) từ BOLA/IDOR tới quản lý inventory, biện pháp phòng thủ cốt lõi (authz mọi tầng, rate limit, schema, API gateway), khác biệt REST/GraphQL/gRPC, và bối cảnh Open Banking ngân hàng.
Biến 'shift-left' thành hành động: nhúng kiểm thử bảo mật tự động vào CI/CD. Phân biệt SAST, DAST, SCA, secret/image/IaC scanning và khi nào chạy; dựng security pipeline có cổng chặn theo severity; quản lý lỗ hổng theo SLA; văn hoá DevSecOps trong ngân hàng.
Bài tổng kết series: bảo mật lấy dữ liệu làm trung tâm (data-centric security) cho hệ thống dữ liệu ngân hàng — phân loại, mã hoá/tokenization/masking, kiểm soát truy cập, giám sát. Bảo mật database, pipeline, warehouse/lake, API và file; threat với hệ dữ liệu, DLP, quy trình incident response; tuân thủ Nghị định 13, yêu cầu NHNN, PCI-DSS. Bản đồ 8 bài.