Trong thời đại số, dữ liệu không chỉ còn là tài sản – nó là “chủ quyền” của doanh nghiệp. Nhưng với tần suất vi phạm, rò rỉ và khai thác trái phép ngày càng tăng, câu hỏi đặt ra là: Liệu dữ liệu của bạn có đang bị đưa ra ngoài mà bạn không biết? Xu hướng bảo mật 2026 đang thay đổi mọi quy tắc – và những doanh nghiệp nắm bắt được sẽ không chỉ tồn tại, mà còn phát triển vượt bậc
Thông tin cá nhân của bạn và dữ liệu của công ty chúng ta có thực sự an toàn?
Trước những tin tức về các vụ việc rò rỉ dữ liệu liên tiếp, liệu thông tin cá nhân của bạn và dữ liệu của công ty chúng ta có thực sự an toàn? Các chuyên gia tiếp thị và phân tích dữ liệu trong môi trường doanh nghiệp, họ đều nói điều tương tự rằng: “Xét về chi phí cơ sở hạ tầng và hiệu quả, sử dụng điện toán đám mây là phù hợp
nhưng tôi không đủ khả năng để giao dữ liệu của chúng tôi cho một máy chủ bên ngoài”.
Đây chính là “nghịch lý dữ liệu”. Để đạt được khả năng cá nhân hóa tối đa, bạn cần kết nối dữ liệu nội bộ quý giá của mình với dịch vụ điện toán đám mây bên ngoài, nhưng ngay khi làm vậy, nỗi lo về rò rỉ dữ liệu vẫn tăng lên. Tuy nhiên, việc xây dựng máy chủ tại chỗ riêng rất tốn kém và đòi hỏi đầu tư đáng kể về nguồn nhân lực
Bất chấp những lo ngại này, năm 2025 vừa rồi có thể sẽ được nhớ đến như một năm chứng kiến sự gia tăng đột biến các sự cố an ninh dữ liệu quy mô lớn
Đặc biệt, vụ rò rỉ dữ liệu vừa rồi của ứng dụng A gây chấn động mạnh khi thông tin cá nhân của người dùng bao gồm tên, địa chỉ, thông tin liên lạc và thậm chí cả dữ liệu quản lý quan hệ khách hàng (CRM) không được bảo mật an toàn.
Khi nghĩ về CRM, mọi người thường nghĩ đến một “danh sách liên hệ” đơn giản gồm tên, số điện thoại và địa chỉ email. Tuy nhiên, trên các nền tảng thương mại điện tử hiện đại, dữ liệu CRM bao gồm một phạm vi sâu rộng và chi tiết hơn nhiều.
CRM là một kho lưu trữ dữ liệu khách hàng khổng lồ, lưu giữ mọi dấu vết kỹ thuật số mà khách hàng để lại từ lúc họ mở ứng dụng cho đến khi họ đóng ứng dụng. Đó là lý do tại sao chỉ một truy vấn tìm kiếm có thể hiển thị sản phẩm họ muốn, và tại sao các đề xuất có thể được đưa ra như thể chúng đã đọc được suy nghĩ của họ: “Bạn có cần cái này không?”
Điều khiến dữ liệu bị rò rỉ này trở nên nghiêm trọng là nó chứa rất nhiều thông tin về lịch sử hoạt động và sở thích của khách hàng. Điều gì sẽ xảy ra nếu những thông tin như “dầu gội trị rụng tóc” mà bạn bí mật tìm kiếm, “những món đồ đắt tiền” bạn cho vào giỏ hàng rồi xóa đi, và “hàng tiêu dùng” bạn trả lại lại rơi vào tay bên thứ ba?
Điều này không chỉ đơn thuần là rò rỉ thông tin, mà còn có nghĩa là sức khỏe, kế hoạch gia đình và thậm chí cả tình hình tài chính của tôi có thể bị người khác theo dõi. Đây là một sự xâm phạm quyền riêng tư khủng khiếp, khi ngay cả những việc riêng tư của tôi, bao gồm cả những mối quan tâm và sở thích cá nhân, cũng trở thành tài sản công khai
Bạn chỉ sử dụng các dịch vụ tại Việt Nam, vậy sao thông tin cá nhân vẫn bị rò rỉ ra nước ngoài?
Mỗi khi xảy ra sự cố rò rỉ dữ liệu, chúng ta thường nghe các báo cáo về việc thông tin cá nhân bị rò rỉ ra nước ngoài. Vậy tại sao truyền thông và báo chí lại cho rằng dữ liệu của bạn đã bị rò rỉ ra nước ngoài?
Có hai lý do quan trọng tại sao bạn không nên chỉ tin vào lời khẳng định rằng “Thông tin của bạn luôn được bảo mật an toàn”:
1.Điều khoản ‘Sao lưu’ ẩn trong Điều khoản hay Điều kiện
Ngay cả khi máy chủ chính đặt tại Việt Nam, vẫn có thể có một điều khoản ẩn trong điều khoản hay điều kiện cho phép sao chép dữ liệu một cách bí mật ra nước ngoài dưới lý do ‘chất lượng dịch vụ’ hoặc ‘sao lưu’
2.Khi dữ liệu được truyền đi, liệu nó có đang được bảo vệ an toàn?
Ngay cả khi trung tâm dữ liệu của bạn đặt tại Việt Nam, dữ liệu vẫn có thể cần phải vượt ra bên ngoài trong quá trình xử lý để phân tích AI tiên tiến
Yếu tố then chốt trong quá trình này là “phương thức vận chuyển”. Nó giống như sự khác biệt giữa việc gửi dữ liệu trong một túi nhựa trong suốt và trong một “xe chở tiền” với mã hóa mạnh mẽ
Thay vì chỉ dựa vào vị trí vật lý của máy chủ hoặc các hợp đồng bên ngoài, việc đảm bảo bạn có các hướng dẫn bảo mật rõ ràng và một cẩm nang ứng phó nội bộ kỹ lưỡng để ngăn chặn rò rỉ thông tin ra nước ngoài mới là thước đo thực sự của bảo mật
Nguyên nhân của sự cố rò rỉ dữ liệu do yếu tố “nội bộ”, chứ không phải “bên ngoài”
Vấn đề không chỉ đơn thuần là phần mềm bảo mật lỗi thời hay mật khẩu bị lộ. Mặc dù hình ảnh về tin tặc thường gợi lên hình ảnh một hacker thiên tài nhập mã vào màn hình đen để mở khóa két sắt, nhưng thực tế lại đơn giản hơn nhiều
Truyền thông cho rằng nguyên nhân là do “thiếu ý thức về bảo mật”, nhưng từ góc nhìn của người làm thực tế, vấn đề không đơn giản như vậy. Đây không phải là vấn đề về ý thức, mà là sự thất bại của việc kiểm soát truy cập. Mặc dù máy chủ được đặt trong nước thì nguyên nhân cốt lõi khiến dữ liệu bị rò rỉ không nằm ở vị trí vật lý, mà là do quyền truy cập đã bị xâm nhập
Để giải quyết những hạn chế và rủi ro đã nêu ở trên,ban có thể áp dụng kiến trúc OS Login của Google Cloud ngay từ giai đoạn thiết kế dịch vụ. Điều này cung cấp một cơ chế bảo mật khác biệt đáng kể
Điểm mấu chốt là sự tích hợp. Trong môi trường OS Login, khi quản trị viên tạm ngừng tài khoản Google Workspace của một nhân viên cũ, tất cả quyền truy cập máy chủ liên kết với tài khoản đó sẽ bị thu hồi ngay lập tức. Không còn cần phải đăng nhập vào từng máy chủ và xóa khóa nữa. Đây chính là kiểm soát truy cập tập trung thực sự
Để biết thêm thông tin OS Login bạn có thể xem chi tiết tại đây
Thiết lập bảo mật bằng OS Login
Bạn có thể xem chi tiết về cách thiết lập bảo mật ở trang của Google tại đây
Trước khi bắt đầu
Nếu bạn muốn sử dụng OS Login với xác thực hai yếu tố (OS Login 2FA), hãy bật 2FA cho domain hoặc tài khoản của bạn:
Nếu bạn chưa thiết lập xác thực, hãy thực hiện trước. Xác thực (Authentication) dùng để xác minh danh tính khi truy cập các dịch vụ và API của Google Cloud.
Khi bạn sử dụng Google Cloud Console để truy cập các dịch vụ và API của Google Cloud, không cần thiết lập xác thực bổ sung.
Giới hạn (Limitations)
OS Login không được hỗ trợ trên các loại VM sau:
- VM Windows Server và SQL Server
- VM Fedora CoreOS
-> Để quản lý quyền truy cập với các VM này, hãy sử dụng Fedora CoreOS ignition system - VM SLES-16
-> Để quản lý quyền truy cập, hãy dùng Metadata-based SSH - OS Login 2FA không hỗ trợ trên các VM sử dụng Workforce Identity Federation với OS Login
Gán vai trò IAM cho OS Login
Bạn cần gán đầy đủ các vai trò IAM cho người dùng kết nối tới VM đã bật OS Login.
| Vai trò | Người dùng bắt buộc | Cấp quyền |
|---|---|---|
roles/compute.osLogin hoặc roles/compute.osAdminLogin | Tất cả người dùng | Ở cấp Project hoặc Instance Nếu người dùng cần truy cập SSH từ Google Cloud Console hoặc Google Cloud CLI, bạn phải:
|
roles/iam.serviceAccountUser | Tất cả người dùng (nếu VM có service account) | Ở cấp Service Account |
roles/compute.osLoginExternalUser | Người dùng thuộc tổ chức khác với VM | Ở cấp Organization Vai trò |
Bật OS Login
Bạn có thể bật OS Login hoặc OS Login kèm xác thực hai yếu tố (2FA) cho: Một VM cụ thể hoặc toàn bộ VM trong một project việc này được thực hiện thông qua metadata của OS Login
Khi bật OS Login: Compute Engine sẽ xóa file authorized_keys trên VM và VM không còn chấp nhận SSH key được lưu trong metadata của project hoặc instance
Lưu ý:
Khi bật OS Login 2FA, tài khoản Google hoặc domain của bạn bắt buộc phải bật xác thực hai bước thì mới có thể kết nối VM.
Nếu chưa bật, mọi kết nối sẽ bị từ chối. Xác thực hai bước không bắt buộc với service account.
Bật OS Login cho toàn bộ VM trong Project
Thiết lập metadata ở cấp Project với các giá trị sau:
- Bật OS Login: Key:
enable-osloginvà Value:TRUE (Tùy chọn) Bật xác thực hai yếu tố: Key:enable-oslogin-2favà Value:TRUE
Bật OS Login cho một VM cụ thể
Thiết lập metadata ở cấp Instance:
- Bật OS Login: Key:
enable-osloginvà Value:TRUE (Tùy chọn) Bật xác thực hai yếu tố: Key:enable-oslogin-2favà Value:TRUE
Bật OS Login khi tạo VM
Bạn có thể bật OS Login (và tùy chọn 2FA) ngay khi tạo VM bằng Google Cloud Console hoặc gcloud CLI.
Kết nối tới VM đã bật OS Login
Bạn có thể kết nối bằng các phương thức được mô tả trong Connect to Linux VMs.
- Compute Engine sẽ sử dụng username do quản trị viên tổ chức cấu hình
- Nếu chưa cấu hình, hệ thống sẽ tự sinh username theo dạng:
USERNAME_DOMAIN_SUFFIX
Khi kết nối tới VM bật OS Login 2FA:
- Bạn sẽ nhận được yêu cầu xác thực dựa trên phương thức 2-step verification đã chọn
- Với phone prompt: chấp nhận thông báo trên điện thoại/máy tính bảng
- Với các phương thức khác: nhập mã bảo mật hoặc OTP
Google Workspace chính hãng dành cho doanh nghiệp tại ADTIMIN
Trong bối cảnh dữ liệu ngày càng trở thành tài sản cốt lõi của doanh nghiệp, việc lựa chọn một nền tảng làm việc an toàn, minh bạch và tuân thủ tiêu chuẩn bảo mật quốc tế là yếu tố sống còn. Google Workspace không chỉ mang lại hiệu quả cộng tác vượt trội, mà còn giúp doanh nghiệp kiểm soát dữ liệu chặt chẽ, đáp ứng yêu cầu về bảo mật và “chủ quyền dữ liệu” trong kỷ nguyên số.
Là đối tác triển khai Google Workspace chính thức, ADTIMIN đồng hành cùng doanh nghiệp từ khâu tư vấn giải pháp phù hợp, triển khai hệ thống đến hỗ trợ kỹ thuật xuyên suốt quá trình sử dụng. Với kinh nghiệm thực tế và đội ngũ kỹ thuật chuyên sâu, ADTIMIN giúp doanh nghiệp khai thác tối đa giá trị của Google Workspace, vận hành ổn định và an toàn trong dài hạn.
Liên hệ ADTIMIN ngay hôm nay để được tư vấn chi tiết về Google Workspace với giá thành ưu đãi dành cho doanh nghiệp của bạn.
