Dưới đây là 5 kiểu tấn công đang gia tăng trên Cloud — kèm ví dụ thật và cách phòng ngừa. Anh em DevOps/Cloud Engineer cần “nằm lòng”!
Kẻ tấn công ép server gửi request đến nội bộ như metadata API hoặc các dịch vụ nội bộ.
Ví dụ: Tháng 6/2020, Kubernetes kube-controller bị khai thác SSRF để truy cập tài nguyên nội bộ.
Phòng ngừa:
Giới hạn outbound traffic từ ứng dụng
Dùng whitelist URL
Đặt proxy hoặc network policy nội bộ
Lỗ hổng cho phép leo thang đặc quyền từ user thường → admin.
Ví dụ: Tháng 7/2020, Kubernetes control plane bị khai thác để tăng quyền truy cập.
Phòng ngừa:
Triển khai nguyên tắc PoLP (Least Privilege)
Audit định kỳ IAM roles
Hardening control plane và RBAC
Đưa hệ thống vào trạng thái không phục vụ được request hợp lệ.
Ví dụ: Facebook bị tấn công DoS tháng 1/2021 qua tính năng cắt video.
Phòng ngừa:
Sử dụng WAF chống DoS
Giới hạn rate limiting request
Dùng autoscaling và alert
API public nhưng không có xác thực = rò rỉ dữ liệu!
Ví dụ: Peloton (5/2021) và Optus (9/2022) bị lộ dữ liệu do API không có auth.
Phòng ngừa:
Triển khai OAuth 2.0 hoặc API Key
Đặt throttling
Scan security API định kỳ (VD: OWASP ZAP)
Tấn công vào thư viện mã nguồn mở, cài mã độc trước khi đến tay người dùng.
Ví dụ: PyTorch module bị chèn mã độc tháng 1/2023.
Phòng ngừa:
Dùng trusted repo (VD: Artifactory, PyPI verified)
Ký mã (code signing)
Theo dõi SCA (Software Composition Analysis)
Cloud là con dao hai lưỡi. Nếu bạn đang chạy workload trên Kubernetes, CI/CD pipeline, hoặc public API — hãy kiểm tra lại ngay hôm nay. Tự động hóa bảo mật (DevSecOps) nên là mục tiêu ưu tiên trong mọi chiến lược Cloud.
Bạn đã gặp hoặc xử lý các case tương tự chưa? Chia sẻ thêm để cộng đồng học hỏi nhé!
