Blog chia sẻ kiến thức FPT Cloud

Sự trỗi dậy của Generative AI không chỉ thay đổi cách chúng ta tương tác với công nghệ mà đã kéo theo một làn sóng tái kiến trúc hạ tầng ở quy mô toàn cầu. Những mô hình ngôn ngữ lớn (LLM), GPU chuyên dụng như H100/H200, hay các cụm HPC tốc độ cao đã khiến yêu cầu về hạ tầng tăng mạnh chưa từng thấy. Doanh nghiệp không chỉ cần sức mạnh tính toán; họ cần một nền tảng mở, linh hoạt, dễ mở rộng và có khả năng bắt kịp tốc độ thay đổi của hệ sinh thái AI. Họ cần một "AI Factory" – một nhà máy AI thực thụ.  Trong bối cảnh đó, OpenStack đang nổi lên như một nền tảng mở, linh hoạt và mạnh mẽ, đóng vai trò kim chỉ nam cho hạ tầng AI thế hệ tiếp theo nơi khả năng mô-đun hóa, tự do tích hợp và tốc độ cải tiến cộng đồng trở thành lợi thế vượt trội.  OpenStack: Nền tảng mở cho kỷ nguyên AI  Khi các workload AI ngày càng tiêu tốn tài nguyên hơn và nhạy cảm về độ trễ hơn, OpenStack cung cấp lớp ảo hóa và quản trị hạ tầng mạnh mẽ, đủ khả năng hỗ trợ môi trường tính toán hiệu suất cao thông qua các dịch vụ như Nova, Neutron, Cinder và Ironic. Khả năng mở rộng đã được kiểm chứng và mức độ linh hoạt cao khiến OpenStack trở thành lựa chọn phù hợp cho thế hệ tiếp theo của workload AI và HPC.  Khác với các giải pháp đám mây độc quyền vốn phụ thuộc vào lộ trình của nhà cung cấp, OpenStack được phát triển bởi chính cộng đồng những doanh nghiệp vận hành nó trong thực tế. Điều này đảm bảo tốc độ cải tiến nhanh, khả năng cập nhật các công nghệ mới nổi như lập lịch GPU đa người dùng, tối ưu theo NUMA hay tăng tốc mạng SR-IOV, đồng thời mang lại mức độ linh hoạt mà các nền tảng đóng không thể có.  Xuất phát từ thực tiễn đó, AI Working Group - được thành lập bởi Open Infra Foundation đã cùng hợp tác để giới thiệu kiến trúc và usecase công nghệ của việc sử dụng OpenStack nhằm hỗ trợ các workload AI trong whitepaper “Open Infrastructure for AI: OpenStack’s Role in the Next Generation Cloud”  Kim chỉ nam cho hạ tầng AI - Và 5 bài toán lớn định hình tương lai  Generative AI tạo ra một sự thay đổi căn bản trong cách chúng ta thiết kế, triển khai và vận hành hạ tầng AI. Việc huấn luyện mô hình ngôn ngữ lớn, tự lưu trữ các mô hình mã nguồn mở, hay phục vụ suy luận (inference) ở quy mô lớn đòi hỏi phần cứng thế hệ mới như GPU H100/H200 cùng với tốc độ kết nối và băng thông lưu trữ ở mức HPC.  Nhằm bám sát vào những thay đổi lớn của hạ tầng AI thế hệ mới này, 5 bài toán kinh điển và cách thức để hạ tầng mã nguồn mở giải quyết chúng đã được đưa ra bao gồm:  1. ModelTraining & Serving - Tăng tốc sáng tạo mô hình  Trong nhiều năm, xây dựng một pipeline AI hoàn chỉnh đòi hỏi đội ngũ kỹ thuật phải giải quyết hàng loạt bước phức tạp ở tầng hạ tầng. Xu hướng hiện nay đi theo hướng đơn giản hóa: nhà phát triển ứng dụng AI không cần quan tâm vào hạ tầng, chỉ cần thông qua giao diện code như Jupiter Notebook hoặc code IDE là có thể gọi vào training một model LLM. Sau khi training thì có thể chạy serving model đó thông qua API (e.g. OpenAI Compatible API) chỉ với vài thao tác.  2. GPU-as-a-Service - Tối ưu hiệu năng và chi phí GPU Những dòng GPU tân tiến như H100/H200 rất mạnh mẽ nhưng giá thành cao, việc sở hữu một thiết bị H100 gần như là chỉ có ở những doanh nghiệp lớn và thường không sử dụng hết năng lực của một thiết bị gây lãng phí, thay vào đó là việc đi thuê tài nguyên mang lại chi phí tối ưu hơn và phù hợp cho mọi doanh nghiệp. Kiến trúc mở cho phép chia nhỏ GPU thành nhiều phần (MIG), xây dựng máy ảo GPU theo nhu cầu (vGPU), hoặc cấp quyền truy cập trực tiếp (PCI Passthrough) để tối ưu hiệu năng.  Thay vì sở hữu toàn bộ phần cứng, doanh nghiệp có thể thuê đúng mức tài nguyên cần thiết, tránh tình trạng “đầu tư lớn – sử dụng thấp”, đồng thời linh hoạt mở rộng theo nhịp phát triển AI. 3. Nền tảngMLOps - Vận hành mô hình AI ở quy mô lớn  Các mô hình ngôn ngữ lớn thay đổi nhanh chóng và đòi hỏi một vòng đời vận hành liên tục: cập nhật mô hình, giám sát, tối ưu chi phí suy luận, kiểm soát hiệu năng, đảm bảo uptime. Một nền tảng MLOps hiện đại cần làm được tất cả điều này trong khi vẫn duy trì sự ổn định của hệ thống và tính liên tục của dịch vụ.  OpenStack với bộ dịch vụ mở rộng xung quanh trở thành lựa chọn phù hợp để xây dựng nền tảng tự động hóa toàn trình, từ training đến inference.  4. High-PerformanceComputing Cluster - Sức mạnh kết nối cụm GPU lớn  Những mô hình hàng tỷ tham số yêu cầu khả năng huấn luyện phân tán trên hàng chục node GPU. Kết nối một cụm 32 node H100 với thông lượng Tbps, độ trễ cực thấp và khả năng đọc ghi dữ liệu tốc độ cao là một thách thức mà chỉ các nền tảng HPC thực thụ có thể đáp ứng.  OpenStack cung cấp khả năng quản lý bare-metal kết hợp với các công nghệ tối tân như Infiniband, high-performance storage, giúp doanh nghiệp tiếp cận sức mạnh của các “AI SuperPod” theo cách linh hoạt và tối ưu chi phí hơn. 5. AIIoT& Edge Computing - Đưa AI đến gần dữ liệu hơn  Ứng dụng AI ngày càng mở rộng sang robot, xe tự hành, camera thông minh và các thiết bị IoT. Những tác vụ này cần xử lý ngay tại nguồn để đảm bảo tốc độ theo thời gian thực. Kiến trúc phân tán, edge computing và khả năng đồng bộ giữa trung tâm dữ liệu -  biên - thiết bị trở thành yếu tố then chốt.  OpenStack hỗ trợ tốt cho những mô hình hạ tầng lai (hybrid) và distributed, giúp doanh nghiệp triển khai AI ở biên một cách nhất quán và an toàn.  OpenStack - nền tảng mở cho tương lai AI  Trong thế giới nơi AI đang thúc đẩy mọi ngành công nghiệp, một hạ tầng mở, linh hoạt và dễ mở rộng không còn là tùy chọn - mà trở thành nền tảng cốt lõi. OpenStack mang lại khả năng tùy biến sâu, tích hợp rộng và tốc độ cải tiến nhanh nhờ cộng đồng, giúp doanh nghiệp xây dựng “AI Factory” với chi phí tối ưu và khả năng mở rộng bền vững.  Whitepaper “Open Infrastructure for AI” không chỉ mô tả các kiến trúc kỹ thuật, mà mở ra cách nhìn toàn diện về việc vận hành AI ở quy mô lớn bằng hạ tầng mở. Đây là bước đi quan trọng để doanh nghiệp sẵn sàng cho tương lai AI, nơi tốc độ và khả năng tự chủ hạ tầng trở thành lợi thế cạnh tranh hàng đầu.  Tác giả: Trần Quốc Sang Phó Giám đốc Trung tâm Phát triển Dịch vụ Hạ Tầng Cloud - FPT Smart Cloud, Tập đoàn FPT

FPT Cloud trân trọng thông báo chương trình ưu đãi đặc biệt về các dịch vụ hỗ trợ (Support Services) dành riêng cho Khách hàng đăng ký mới hoặc gia hạn dịch vụ của FPT Cloud từ ngày 01/01/2026 đến hết ngày 31/03/2026. Theo đó, Quý khách hàng sẽ được miễn phí hoàn toàn các dịch vụ: STT Dịch vụ Số lượng Thành tiền 1 Chuyển tiếp mạng (Port Forward) Set Miễn phí 2 Dữ liệu truyền tải giữa các máy chủ (Cloud zone) Included: 10Gbps Set Miễn phí 3 Network Security Group (FW L4) Set Miễn phí 4 Traffic out/ Data transfer Set Miễn phí 5 VPN (Site to site - Free first 5 connections) Set Miễn phí 6 Dữ liệu truyền tải giữa các máy chủ (Cloud zone) Set Miễn phí 7 Internet zone NIX – National Bandwidth only : default 300 Mbps (Including the default International Bandwidth 10 Mbps) Set Miễn phí   Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud: Hotline: 1900 638 399 Email: support@fptcloud.com Support: m.me/fptsmartcloud

Ngày 30/12/2025, FPT AI Factory được vinh danh trong Top 10 Sản phẩm công nghệ số chiến lược xuất sắc tại Giải thưởng Make in Vietnam 2025, do Bộ Khoa học & Công nghệ tổ chức. Thông tin được công bố trong khuôn khổ Diễn đàn Quốc gia Phát triển Doanh nghiệp Công nghệ số Việt Nam 2025 – sự kiện quan trọng cấp quốc gia nhằm tôn vinh đổi mới sáng tạo và năng lực dẫn dắt công nghệ.  Giải thưởng ghi nhận những đóng góp của FPT AI Factory trong việc tăng cường năng lực trí tuệ nhân tạo của Việt Nam, đồng thời góp phần nâng cao vị thế của Việt Nam trên bản đồ công nghệ toàn cầu.  Nền tảng phát triển Trí tuệ Nhân tạo (AI) toàn diện FPT AI Factory là thành quả của quá trình nghiên cứu và phát triển chiến lược, kế thừa và phát huy kinh nghiệm dày dặn cùng các thành tựu đột phá trong lĩnh vực AI mà Tập đoàn FPT đã đầu tư và phát triển liên tục từ năm 2012. Được phát triển bởi FPT Smart Cloud, đơn vị thành viên chiến lược của Tập đoàn FPT về cloud và AI, FPT AI Factory ra đời nhằm giải quyết nhu cầu cấp thiết về hạ tầng AI hiệu năng cao, các công cụ phát triển và dịch vụ AI chuyên sâu, không chỉ tại Việt Nam mà còn vươn ra thị trường khu vực và quốc tế, đồng thời hiện thực hóa mục tiêu tự chủ công nghệ AI quốc gia (Sovereign AI).  Hiện nay, FPT AI Factory cung cấp 43 dịch vụ AI, ứng dụng các siêu chip AI thế hệ mới cùng công nghệ tiên tiến từ NVIDIA, giúp tăng tốc toàn bộ vòng đời phát triển AI, từ huấn luyện, tinh chỉnh mô hình đến việc triển khai và suy luận. Sau một năm kể từ khi chính thức ra mắt, FPT AI Factory đã được tin tưởng bởi 18.853 nhà khoa học AI, lập trình viên ứng dụng và kỹ sư AI trên toàn thế giới, hỗ trợ đa dạng nhu cầu phát triển và ứng dụng AI trong nhiều lĩnh vực.  Với vai trò là nền tảng công nghệ chiến lược quốc gia, FPT AI Factory tích cực thúc đẩy quá trình đổi mới sáng tạo với AI tại Việt Nam. FPT AI Factory đã đồng hành cùng hơn 20 startup AI nhằm nhanh chóng biến các ý tưởng thành ứng dụng AI thực tiễn và đồng tổ chức 8 cuộc thi AI, qua đó nuôi dưỡng nguồn nhân lực AI và thúc đẩy đổi mới sáng tạo dài hạn. Việc được vinh danh trong Top 10 Sản phẩm công nghệ số chiến lược xuất sắc tại Giải thưởng Make in Vietnam 2025 cho thấy năng lực ngày càng lớn của các doanh nghiệp Việt Nam trong việc phát triển các sản phẩm công nghệ tiên tiến, có khả năng cạnh tranh trên thị trường toàn cầu.  Đối với FPT, sự ghi nhận này phản ánh một khát vọng lớn hơn: đưa các sản phẩm Make in Vietnam và trí tuệ Việt ra thế giới, góp phần khẳng định vị thế của Việt Nam là một trung tâm công nghệ mới nổi trong kỷ nguyên AI.  Trong bối cảnh Việt Nam tiếp tục theo đuổi chiến lược tăng trưởng thông qua chuyển đổi số, FPT AI Factory sẽ tiếp tục thúc đẩy đổi mới sáng tạo, nâng cao năng suất và giúp các tổ chức dẫn dắt trong kỷ nguyên trí tuệ nhân tạo.  Giải thưởng Make in Vietnam 2025 tôn vinh các sản phẩm công nghệ số xuất sắc, mang đậm dấu ấn sáng tạo và trí tuệ Việt Nam. Giải thưởng hướng tới thúc đẩy chuyển đổi số toàn dân, toàn diện và toàn trình; tăng tốc phát triển kinh tế số; tạo bước đột phá về năng suất, chất lượng, hiệu quả và năng lực cạnh tranh quốc gia. Đồng thời, giải thưởng cũng ghi nhận các sản phẩm công nghệ Việt Nam chinh phục thị trường toàn cầu, đóng góp cho sự phát triển của nhân loại và sự thịnh vượng của đất nước. Đáng chú ý, năm 2025 là năm đầu tiên giải thưởng vinh danh các Sản phẩm công nghệ số chiến lược xuất sắc nằm trong Danh mục công nghệ chiến lược và sản phẩm công nghệ chiến lược theo Quyết định số 1131/QĐ-TTg ngày 12/6/2025 của Thủ tướng Chính phủ. 

I. Các lỗ hổng bảo mật được công bố trong tháng 12 1. Microsoft  Microsoft phát hành bản vá Patch Tuesday tháng 12/2025 khắc phục tổng cộng 57 lỗ hổng bảo mật, bao gồm 1 lỗ hổng zero-day đang bị khai thác tích cực và 2 lỗ hổng zero-day đã được công bố công khai.   Bản cập nhật lần này cũng xử lý 3 lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE) được đánh giá ở mức Nghiêm trọng (Critical).   Số lượng lỗ hổng theo từng loại chi tiết như sau:   28 lỗ hổng leo thang đặc quyền (Elevation of Privilege)   19 lỗ hổng thực thi mã từ xa (Remote Code Execution)   4 lỗ hổng rò rỉ thông tin (Information Disclosure)   3 lỗ hổng từ chối dịch vụ (Denial of Service)   2 lỗ hổng giả mạo (Spoofing)  a. Lỗ hổngzero-day đang bị khai thác tích cực   CVE-2025-62221 - Lỗ hổng leo thang đặc quyền trong Windows Cloud Files Mini Filter Driver   Một lỗ hổng leo thang đặc quyền (Elevation of Privilege) đang bị khai thác trong thành phần Windows Cloud Files Mini Filter Driver đã được khắc phục. Lỗi use-after-free trong driver này cho phép tác nhân tấn công đã được xác thực thực hiện leo thang đặc quyền cục bộ.   Việc khai thác thành công lỗ hổng cho phép giành quyền SYSTEM, mức đặc quyền cao nhất trên hệ điều hành Windows.   b. Các lỗ hổngzero-day đã được công bố công khai   CVE-2025-64671 - Lỗ hổng thực thi mã trong GitHub Copilot for JetBrains   Một lỗ hổng đã được công bố công khai trong GitHub Copilot for JetBrains cho phép thực thi lệnh cục bộ. Lỗi phát sinh do xử lý không đúng các phần tử đặc biệt trong lệnh (command injection), cho phép tác nhân tấn công không được ủy quyền thực thi mã cục bộ.   Lỗ hổng có thể bị khai thác thông qua Cross Prompt Injection trong các tệp không đáng tin cậy hoặc máy chủ MCP. Thông qua Cross Prompt Injection độc hại, các lệnh bổ sung có thể được chèn vào những lệnh đã được cho phép trong cấu hình terminal auto-approve của người dùng.   CVE-2025-54100 - Lỗ hổng thực thi mã trong PowerShell   Một lỗ hổng trong Windows PowerShell cho phép thực thi mã cục bộ khi một trang web chứa script nhúng được truy xuất bằng lệnh Invoke-WebRequest. Lỗi thuộc nhóm command injection, cho phép thực thi mã trái phép thông qua việc xử lý không an toàn các phần tử đặc biệt trong lệnh.   Biện pháp giảm thiểu đã được triển khai bằng cách hiển thị cảnh báo khi sử dụng Invoke-WebRequest và yêu cầu bổ sung tham số -UseBasicParsing nhằm ngăn chặn việc thực thi mã ngoài ý muốn.   Các bản cập nhật gần đây từ các công ty khác   Adobe đã phát hành các bản cập nhật bảo mật cho nhiều sản phẩm, bao gồm ColdFusion, Experience Manager, DNG SDK, Acrobat Reader và Creative Cloud Desktop.   Fortinet đã phát hành các bản vá bảo mật cho nhiều sản phẩm, trong đó có một lỗ hổng nghiêm trọng cho phép vượt qua cơ chế xác thực FortiCloud SSO (Authentication Bypass).   Google đã công bố bản tin bảo mật Android tháng 12, bao gồm các bản vá cho hai lỗ hổng đang bị khai thác tích cực.   Ivanti đã phát hành các bản vá bảo mật trong khuôn khổ Patch Tuesday tháng 12/2025, bao gồm bản vá cho lỗ hổng Stored XSS có điểm CVSS 9.6/10 trong Ivanti Endpoint Manager.   React đã phát hành bản cập nhật bảo mật cho lỗ hổng thực thi mã từ xa (RCE) ở mức nghiêm trọng trong React Server Components. Lỗ hổng này, được đặt tên là React2Shell, hiện đang bị khai thác rộng rãi trong các cuộc tấn công thực tế.   SAP đã phát hành bản cập nhật bảo mật tháng 12 cho nhiều sản phẩm, bao gồm bản vá cho lỗ hổng code injection có điểm CVSS 9.9/10 trong SAP Solution Manager.   Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 12 năm 2025   Tag   CVE ID   CVE Title   Severity   Microsoft Office   CVE-2025-62554   Microsoft Office Remote Code Execution Vulnerability   Critical   Microsoft Office   CVE-2025-62557   Microsoft Office Remote Code Execution Vulnerability   Critical   Microsoft Office Outlook   CVE-2025-62562   Microsoft Outlook Remote Code Execution Vulnerability   Critical   Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.    2. Linux  CVE   Mô tả lỗ hổng   CVE-2025-68322   Trong nhân Linux, lỗ hổng sau đã được khắc phục: parisc: Tránh tình trạng crash do truy cập không căn chỉnh trong unwinder. Guenter Roeck đã báo cáo lỗi crash kernel này trên máy B160L được mô phỏng của mình, với thông tin như sau: Starting network: udhcpc: started, v1.36.1, kèm theo backtrace gồm các hàm unwind_once, walk_stackframe.isra.0, arch_stack_walk, stack_trace_save, set_track_prepare, ___slab_alloc, __slab_alloc.isra.0, kmem_cache_alloc_noprof, __anon_vma_prepare, __vmf_anon_prepare, do_wp_page, handle_mm_fault, do_page_fault, handle_interruption, và schedule, sau đó xuất hiện lỗi BUG: spinlock recursion on CPU#0, ifconfig/2420, với khóa terminate_lock.2, giá trị .magic: dead4ead, chủ sở hữu ifconfig/2420 và .owner_cpu: 0. Trong quá trình tạo stack trace, unwinder sử dụng stack pointer để suy đoán frame trước đó và đọc stack pointer của frame trước từ bộ nhớ; sự cố xảy ra vì unwinder cố gắng đọc từ vùng nhớ không được căn chỉnh, từ đó kích hoạt unalignment trap handler, dẫn đến hiện tượng spinlock recursion và cuối cùng gây ra deadlock. Lỗi được khắc phục bằng cách kiểm tra căn chỉnh trước khi truy cập bộ nhớ.   CVE-2025-33225   NVIDIA Resiliency Extension for Linux tồn tại một lỗ hổng trong cơ chế tổng hợp log, trong đó kẻ tấn công có thể tạo ra tên tệp log có thể dự đoán trước. Việc khai thác thành công lỗ hổng này có thể dẫn đến leo thang đặc quyền, thực thi mã, từ chối dịch vụ, rò rỉ thông tin và can thiệp/sửa đổi dữ liệu.   CVE-2025-68146   filelock là một cơ chế khóa tệp độc lập nền tảng dành cho Python. Trong các phiên bản trước 3.20.1, tồn tại một lỗ hổng Time-of-Check-Time-of-Use (TOCTOU) cho phép kẻ tấn công cục bộ làm hỏng hoặc cắt ngắn (truncate) các tệp người dùng tùy ý thông qua tấn công symlink. Lỗ hổng xuất hiện trong quá trình tạo tệp khóa trên cả Unix và Windows, khi filelock kiểm tra sự tồn tại của tệp trước khi mở tệp với cờ O_TRUNC. Kẻ tấn công có thể tạo một symlink trỏ tới tệp mục tiêu trong khoảng thời gian giữa bước kiểm tra và bước mở tệp, khiến os.open() theo symlink và cắt ngắn tệp đích. Tất cả người dùng filelock trên Unix, Linux, macOS và Windows đều bị ảnh hưởng, đồng thời lỗ hổng này lan truyền sang các thư viện phụ thuộc. Cuộc tấn công yêu cầu quyền truy cập hệ thống tệp cục bộ và khả năng tạo symlink (quyền người dùng tiêu chuẩn trên Unix; Developer Mode trên Windows 10 trở lên). Việc khai thác thường thành công trong 1–3 lần thử khi đường dẫn tệp khóa có thể dự đoán. Lỗ hổng đã được khắc phục trong phiên bản 3.20.1. Trong trường hợp chưa thể nâng cấp ngay, có thể áp dụng biện pháp giảm thiểu tạm thời như sử dụng SoftFileLock thay cho UnixFileLock/WindowsFileLock (lưu ý: cơ chế khóa khác nhau và có thể không phù hợp với mọi trường hợp), đảm bảo thư mục chứa tệp khóa có quyền hạn chặt chẽ (chmod 0700) để ngăn người dùng không đáng tin tạo symlink, và/hoặc giám sát các thư mục tệp khóa để phát hiện symlink bất thường trước khi chạy ứng dụng tin cậy; tuy nhiên, các biện pháp này chỉ giảm thiểu một phần, điều kiện race vẫn có thể bị khai thác. Khuyến nghị mạnh mẽ nâng cấp lên phiên bản 3.20.1.   CVE-2025-68323   Trong nhân Linux, lỗ hổng sau đã được khắc phục: usb: typec: ucsi: khắc phục lỗi use-after-free do uec->work gây ra. Công việc trì hoãn uec->work được lên lịch trong hàm gaokun_ucsi_probe() nhưng không bao giờ được hủy đúng cách trong gaokun_ucsi_remove(), từ đó tạo ra các kịch bản use-after-free khi các cấu trúc ucsi và gaokun_ucsi bị giải phóng sau khi ucsi_destroy() hoàn tất, trong khi gaokun_ucsi_register_worker() có thể đang thực thi hoặc vẫn còn chờ trong hàng đợi công việc; khi đó, các cấu trúc gaokun_ucsi hoặc ucsi đã bị giải phóng vẫn có thể bị truy cập. Ngoài ra, cửa sổ race condition là 3 giây, đủ dài để khiến lỗi này dễ dàng tái tạo. Dưới đây là trace được KASAN ghi nhận, cho thấy lỗi BUG: KASAN: slab-use-after-free trong __run_timers, với ghi nhận thao tác ghi kích thước 8 byte vào vùng nhớ đã bị giải phóng, kèm theo call trace, thông tin cấp phát và giải phóng bộ nhớ, xác định địa chỉ lỗi thuộc về đối tượng trong cache kmalloc-512 đã bị giải phóng, nằm lệch 200 byte bên trong vùng 512 byte, cùng trạng thái trang bộ nhớ chi tiết; trang được dump do KASAN phát hiện truy cập bộ nhớ không hợp lệ.   Chi tiết về các lỗ hổng có thể xem tại Advisories.  II. Một số sự kiện an ninh mạng đáng chú ý 1. Hai tiện ích mở rộngChromebị phát hiện bí mật đánh cắp thông tin đăng nhập từ hơn 170 website   Các nhà nghiên cứu an ninh mạng đã phát hiện hai tiện ích mở rộng độc hại trên Google Chrome, có cùng tên và do cùng một nhà phát triển phát hành, được thiết kế để chặn lưu lượng mạng và đánh cắp thông tin xác thực người dùng.   Các tiện ích này được quảng bá là “plugin kiểm tra tốc độ mạng đa vị trí” dành cho lập trình viên và nhân sự thương mại quốc tế.    Thông tin chi tiết như sau:   Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2.000 người dùng (phát hành ngày 26/11/2017)   Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 180 người dùng (phát hành ngày 27/04/2023)   Cơ chế tấn công và đánh cắp dữ liệu:  Sau khi người dùng thanh toán, họ được cấp trạng thái VIP và tiện ích tự động kích hoạt chế độ proxy “smarty”, cho phép định tuyến lưu lượng truy cập của hơn 170 domain mục tiêu thông qua hạ tầng C2 của kẻ tấn công.   Điểm nguy hiểm là các tiện ích này vẫn hoạt động đúng như quảng cáo, nhằm tạo cảm giác hợp pháp khi thực hiện kiểm tra độ trễ (latency) của proxy và hiển thị trạng thái kết nối bình thường.  Trong khi đó, mục tiêu thực sự của chúng là chặn lưu lượng mạng và đánh cắp thông tin xác thực mà người dùng hoàn toàn không hay biết.   Hành vi độc hại được triển khai thông qua việc chỉnh sửa mã độc được chèn vào hai thư viện JavaScript đi kèm tiện ích jquery-1.12.2.min.js và scripts.js.  Đoạn mã này đăng ký một listener trên chrome.webRequest.onAuthRequired để tự động tiêm cặp thông tin xác thực proxy được mã hóa cứng (topfany / 963852wei) vào mọi yêu cầu xác thực HTTP.   Ba chế độ proxy và danh sách domain nhạy cảm:  Sau khi xác thực proxy thành công, tiện ích cấu hình Chrome sử dụng Proxy Auto-Configuration (PAC) với ba chế độ:   close: Tắt proxy   always: Định tuyến toàn bộ lưu lượng web qua proxy   smarty: Chỉ định tuyến một danh sách cố định gồm hơn 170 domain giá trị cao   Danh sách này bao gồm:   Nền tảng lập trình: GitHub, Stack Overflow, Docker   Dịch vụ đám mây: AWS, DigitalOcean, Microsoft Azure   Giải pháp doanh nghiệp: Cisco, IBM, VMware   Mạng xã hội: Facebook, Instagram, Twitter   Website người lớn   Đánh cắp dữ liệu liên tục và ở quy mô lớn:   Hệ quả là toàn bộ lưu lượng web của người dùng bị chuyển qua proxy do kẻ tấn công kiểm soát, trong khi tiện ích duy trì heartbeat 60 giây tới máy chủ C2 tại domain phantomshuttle[.]space (hiện vẫn đang hoạt động).   Điều này cho phép kẻ tấn công nắm vị trí Man-in-the-Middle, thu thập lưu lượng theo thời gian thực, thao túng phản hồi và chèn payload tùy ý.  Nghiêm trọng hơn, mỗi 5 phút, tiện ích gửi một HTTP GET request về máy chủ bên ngoài, chứa email người dùng VIP, mật khẩu (dạng plaintext) và phiên bản tiện ích.  Rủi ro chuỗi cung ứng và khuyến nghị:  Tiện ích này có khả năng thu thập mật khẩu, số thẻ tín dụng, cookie xác thực, lịch sử duyệt web, dữ liệu form, API key và access token.  Đặc biệt, việc đánh cắp bí mật của lập trình viên có thể mở đường cho các cuộc tấn công chuỗi cung ứng (supply chain attacks).   Hiện vẫn chưa xác định được danh tính tác giả đứng sau chiến dịch kéo dài suốt 8 năm này. Tuy nhiên, các dấu hiệu như mô tả tiện ích bằng tiếng Trung, tích hợp thanh toán qua Alipay và WeChat Pay, sử dụng Alibaba Cloud để lưu trữ C2 cho thấy khả năng cao đây là một chiến dịch có nguồn gốc từ Trung Quốc.   FPT Cloud khuyến nghị người dùng cần gỡ bỏ ngay các tiện ích nêu trên nếu đã cài đặt. Trong khi đó, đội ngũ an ninh nên triển khai allowlist tiện ích mở rộng, giám sát các tiện ích có cơ chế thu phí + quyền proxy và theo dõi lưu lượng mạng bất thường liên quan đến xác thực proxy.  Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.    Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.      Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud  Fanpage: https://www.facebook.com/fptsmartcloud/  Email: support@fptcloud.com  Hotline: 1900 638 399

1. CVE-2025-55182 – Lỗ hổng RCE “React2Shell” & Thống kê đáng báo động Cuối năm 2025, cộng đồng bảo mật toàn cầu đã bị báo động mạnh mẽ bởi một lỗ hổng cực kỳ nguy hiểm mang tên CVE-2025-55182, hay còn gọi là React2Shell, liên quan đến cơ chế React Server Components (RSC) và lan rộng đến các framework như Next.js, vốn được sử dụng phổ biến trong hàng chục triệu ứng dụng web và dịch vụ đám mây. Theo dữ liệu nghiên cứu bảo mật, ~39% môi trường cloud surveyed chứa instance dễ bị tấn công bởi lỗ hổng này, tức là gần 4 trong 10 hệ thống cloud đang hoạt động có nguy cơ bị khai thác nếu chưa vá lỗi. Những gì khiến CVE-2025-55182 trở nên “nóng”: (1) Điểm CVSS tối đa 10.0, mức nghiêm trọng cao nhất, cho phép thực thi mã từ xa ngay cả khi không xác thực; (2) Exploit đã bắt đầu xuất hiện trong tự nhiên chỉ sau vài giờ kể từ khi được công khai, với nhiều scanner tự động và tay hacker chủ động tìm kiếm mục tiêu; (3) Các nhóm tội phạm mạng được ghi nhận khai thác lỗ hổng này để chèn malware, mở backdoor và thu thập credential; (4) Báo cáo cho thấy ít nhất ~30 tổ chức ở nhiều lĩnh vực khác nhau đã bị xâm nhập, bao gồm rò rỉ thông tin đăng nhập, cài malware khai thác tiền điện tử và mở lối vào hệ thống. Trong bối cảnh này, việc phát hiện sớm lỗ hổng trong container image, hiểu rõ chính xác package/version bị ảnh hưởng ngay từ đầu, và xử lý trước khi sản phẩm được đưa vào production là ưu tiên hàng đầu của mọi đội DevSecOps. Và đây là lúc FPT AppSec - với tính năng Image Scanning mạnh mẽ, phát huy vai trò quan trọng, giúp doanh nghiệp scan hàng nghìn image tự động, xác định đúng vị trí tồn tại lỗ hổng như CVE-2025-55182 và giảm thiểu rủi ro trong thời gian ngắn nhất. 2. Case study: FPT AppSec – Giải pháp phát hiện & xử lí CVE-2025-55182 chỉ trong vài giây Khi khách hàng kích hoạt Image Scanning (tích hợp Docker registry hoặc CI/CD pipeline), FPT AppSec lập tức phân tích tất cả layer của image. Trong phát hiện CVE-2025-55182, hệ thống đã: (1) Nhanh chóng xác định đúng image bị ảnh hưởng; (2) Highlight rõ gói next@15.x đang chứa lỗ hổng; (3) Chỉ ra layer build mà package này được đưa vào container; (4) Xếp hạng mức độ Critical và cảnh báo real-time. Nhờ vậy, thay vì phải grep log build hoặc manually check package version, đội kỹ thuật có thể xử lí ngay, đúng vị trí gây rủi ro, giảm đáng kể thời gian điều tra. [caption id="attachment_69816" align="aligncenter" width="977"] FPT AppSec phát hiện image chứa thành phần Next.js bị ảnh hưởng bởi lỗ hổng CVE-2025-55182[/caption] Một trong những khó khăn lớn nhất khi xử lý lỗ hổng trong container là: “Package này đến từ đâu? Layer nào? Tại sao image lại mang phiên bản dễ tổn thương?” Với FPT AppSec, người dùng có thể giải quyết triệt để bằng cách hiển thị Dockerfile layer gây ra việc cài đặt dependency và cho biết danh sách phiên bản an toàn (patched versions). [caption id="attachment_69817" align="aligncenter" width="977"] FPT AppSec chỉ rõ lỗ hổng xuất hiện ở layer nào trong image[/caption] FPT AppSec sở hữu những tính năng ưu việt giúp người dùng xử lý nhanh chóng, chính xác những sự cố như CVE-2025-55182: Quét số lượng lớn image cùng lúc: Hệ thống được xây dựng theo kiến trúc cloud-native, scale-out linh hoạt, có thể xử lí mượt mà 100 hay 10.000 container images. Phát hiện lỗ hổng real-time: Ngay khi CVE mới được công bố, hệ thống tự động đồng bộ dữ liệu vulnerability feed và re-scan nếu cần. Giảm thời gian phản ứng từ hàng giờ xuống vài phút: Đội DevSecOps không cần truy ngược build log, không cần manually inspect, mọi thứ hiển thị trực quan. Dễ dàng tích hợp vào hệ thống CI/CD hiện tại: Chỉ một bước thêm vào pipeline, FPT AppSec sẽ quét trước khi image được push lên registry. 3. Hướng dẫn chi tiết Cách xử lý CVE-2025-55182 trong thực tế CVE-2025-55182 là một lỗ hổng Remote Code Execution (RCE) cực kỳ nghiêm trọng trong React Server Components (RSC), cho phép kẻ tấn công thực thi mã trên server mà không cần xác thực thông qua payload đặc biệt gửi tới endpoint RSC. Lỗi gốc nằm ở việc deserialization không an toàn của các component trên server. NVD Bước 1: Xác định phạm vi ảnh hưởng - React Server Components Các phiên bản sau của React Server Components bị ảnh hưởng: react-server-dom-webpack: 0.0, 19.1.0, 19.1.1, 19.2.0 react-server-dom-parcel: 0.0, 19.1.0, 19.1.1, 19.2.0 react-server-dom-turbopack: 0.0, 19.1.0, 19.1.1, 19.2.0 NVD Những phiên bản này là đích ngắm chính của exploit do lỗi xử lý unsafe deserialization trong Flight Protocol. NVD Next.js Mặc dù lỗi gốc là ở React RSC, Next.js cũng chịu ảnh hưởng khi sử dụng RSC trong App Router. Theo advisory từ Next.js, các version Next.js bị ảnh hưởng và đã được patched bao gồm: Next.js Next.js Tình trạng 15.0.0 – 15.0.4 Vulnerable 15.1.0 – 15.1.8 Vulnerable 15.2.0 – 15.2.5 Vulnerable 15.3.0 – 15.3.5 Vulnerable 15.4.0 – 15.4.7 Vulnerable 15.5.0 – 15.5.6 Vulnerable 16.0.0 – 16.0.6 Vulnerable Tương ứng các bản an toàn (patched) đã được Next.js phát hành: 0.5, 15.1.9, 15.2.6 3.6, 15.4.8, 15.5.7 0.7 Next.js Bước 2: Cập nhật dependency ngay Nguyên tắc đầu tiên và quan trọng nhất là không chạy code với phiên bản RSC/Next.js dễ bị tấn công: React Server Components: Cập nhật các package RSC lên phiên bản an toàn mới nhất (ví dụ 19.2.1 hoặc cao hơn nếu đã phát hành) npm install react-server-dom-webpack@19.2.1 \ react-server-dom-parcel@19.2.1 \ react-server-dom-turbopack@19.2.1 Lưu ý: Nếu bạn không trực tiếp thêm các package RSC vào project, hãy kiểm tra plugin/bundler (ví dụ Webpack/Turbopack) đang sử dụng có phụ thuộc RSC hay không và cập nhật tương ứng. Next.js: Nâng Next.js lên ít nhất một trong các bản đã patched. Đảm bảo lựa chọn đúng phiên bản phù hợp với nhánh hiện tại của bạn để không gây xung đột dependency. npm install next@15.0.5   # nếu đang dùng 15.0.x npm install next@15.1.9   # nếu đang dùng 15.1.x npm install next@15.2.6   # nếu đang dùng 15.2.x npm install next@15.3.6   # nếu đang dùng 15.3.x npm install next@15.4.8   # nếu đang dùng 15.4.x npm install next@15.5.7   # nếu đang dùng 15.5.x npm install next@16.0.7   # nếu đang dùng 16.x Bước 3. Quét lại & xác nhận bằng FPT AppSec Sau khi nâng cấp: Rebuild toàn bộ image/container để loại bỏ dependency cũ. Scan lại với FPT AppSec Image Scanning để đảm bảo không còn phiên bản vulnerable trong bất kỳ layer nào. Kiểm tra điều kiện chạy (runtime environment, build cache, CI/CD pipeline) để chắc chắn không còn CVE-2025-55182. FPT AppSec sẽ chỉ ra chính xác: Image nào còn chứa phiên bản vulnerable; Layer nào cài đặt các package đó; Package/version hiện tại đã được cập nhật hay chưa. Điều này giúp bạn chốt được việc xử lý tận gốc, không chỉ patch tạm thời. Tác giả: Lê Ngọc Linh Chuyên gia Bảo mật - FPT Smart Cloud, Tập đoàn FPT

Nhằm hướng đến mục tiêu tối ưu hoá vận hành và nâng cao trải nghiệm khách hàng, FPT Cloud chính thức giới thiệu loạt bản cập nhật mới cho phiên bản FPT Cloud Desktop 2.6, FPT Load Balancing 2.10, FPT Cloud Guard 3.5 và FPT Backup Native 1.6, mang đến nhiều cải tiến thiết thực giúp doanh nghiệp vận hành ổn định, an toàn và hiệu quả hơn. I. FPT Cloud Desktop 2.6: Nâng cấp trải nghiệm quản trị và minh bạch hóa dữ liệu sử dụng  Phiên bản FPT Cloud Desktop 2.6 tập trung nâng cấp Dashboard Monitor trực quan hơn và bổ sung tính năng Export VD Usage chi tiết cho Quản trị viên. Cùng với việc cải tiến FCDAgent để ổn định kết nối và hỗ trợ tự động cập nhật (Auto-update), phiên bản này còn đảm bảo hiển thị chính xác trạng thái của người dùng, giúp quản trị hệ thống hiệu quả và liền mạch hơn. Phiên bản FPT Cloud Desktop 2.6 tập trung cải thiện khả năng giám sát và quản trị hệ thống VDI, giúp đội ngũ IT dễ dàng theo dõi tình trạng vận hành và kiểm soát tài nguyên. Những cải tiến đáng chú ý trong bản cập nhật lần này:  1. Cập nhật dashboard Monitor mới trên Admin Portal:  Nâng cấp giao diện Dashboard: Giúp Quản trị viên theo dõi trực quan các thông số vận hành.  Bổ sung tính năng Export Virtual Desktop Usage: Cho phép tải xuống báo cáo chi tiết về thời lượng sử dụng của người dùng cuối ngay trên trang quản trị. 2. FCDAgent new release: Ổn định kết nối: Cập nhật FCDAgent loại bỏ tình trạng gián đoạn do ảnh hưởng từ các tác nhân bên ngoài. Auto-update: Triển khai cơ chế tự động cập nhật (Auto-update) cho Agent, hệ thống sẽ tự động cập nhật lên phiên bản mới nhất mà không cần thao tác thủ công từ phía người dùng hay admin 3. Cập nhật logic tìm kiếm Owner của Virtual Desktop: Đảm bảo luôn truy xuất và hiển thị chính xác danh sách các user đã được gán máy (assigned) trên hệ thống FPT Cloud Desktop , loại bỏ các trường hợp sót dữ liệu trong các phiên bán trước. 4. Bổ sung thông tin trạng thái trong màn hình User details: FPT Cloud Desktop 2.6 cải tiến tính năng giúp cập nhật hiển thị rõ ràng trạng thái hiện tại (Status) của người dùng. Trong phiên bản tiếp theo, FPT Cloud Desktop sẽ  tiếp tục cải tiến giao diện truy cập máy ảo mới, thân thiện và hiệu quả hơn cho người dùng. II. FPT Load Balancing 2.10: Linh hoạt kiểm soát truy cập, nâng cao bảo mật dịch vụ Với phiên bản FPT Load Balancing 2.10, FPT Cloud mang đến những cải tiến quan trọng giúp doanh nghiệp kiểm soát truy cập vào ứng dụng chặt chẽ hơn, đồng thời tối ưu trải nghiệm vận hành. Những cải tiến đáng chú ý trong bản cập nhật lần này: 1. Bộ lọc (Filter) danh sách Load Balancer: FPT Load Balancing 2.10 hỗ trợ bộ lọc danh sách Load Balancer giúp người dùng dễ dàng tìm kiếm và quản lý số lượng lớn Load Balancer một cách hiệu quả, đặc biệt hữu ích với các hệ thống có quy mô lớn hoặc nhiều môi trường triển khai. 2. Allow/Deny CIDRs cho Listener: Nâng cấp hơn so với phiên bản cũ chỉ hỗ trợ Allow CIDRs, version 2.10 ra mắt thêm tính năng Deny CIDRs giúp người dùng thiết lập các chính sách (policy) quản lý truy cập cho từng Listener trên LB: Cho phép người dùng linh hoạt định nghĩa chính sách truy cập theo từng IP hoặc dải IP. Hỗ trợ kết hợp đồng thời cả Allow và Deny để tăng mức độ kiểm soát truy cập. Tăng cường bảo mật cho ứng dụng bằng việc giới hạn truy cập không mong muốn. Trong phiên bản tiếp theo, FPT Load Balancing tiếp tục cập nhật các tính năng giúp: Tích hợp Metric Load Balancer với FPT Monitoring giúp dễ dàng giám sát LB. Cảnh báo gợi ý phát hiện quá tải (Recommended alarms) cho từng LB khi khởi tạo. Tự động resize Load Balancer khi quá tải. III. FPT Cloud Guard 3.5: Mở rộng giám sát, phát hiện sớm nguy cơ quá tải Phiên bản FPT Cloud Guard 3.5 tập trung nâng cao khả năng giám sát hiệu năng và cảnh báo sớm sự cố trên hạ tầng Cloud. Những cải tiến đáng chú ý trong bản cập nhật lần này: 1. Bổ sung 4 metric quan trọng của Load Balancer giúp đánh giá tình trạng cao tải và năng lực xử lý của LB: FPT Load Balancing 2.10 hỗ trợ bộ lọc danh sách Load Balancer giúp người dùng dễ dàng tìm kiếm và quản lý số lượng lớn Load Balancer một cách hiệu quả. Metric Mô tả Total packet In/Out per second Đo tổng số lượng packet được LB xử lý mỗi giây theo từng chiều In/Out để nhận biết mức tải thực tế và phát hiện dấu hiệu tăng tải bất thường. Drop packet In/Out per second Theo dõi lượng packet bị rớt mỗi giây. Giá trị cao phản ánh tình trạng LB bị quá tải hoặc kết nối backend gặp vấn đề. Provisioning status Pending Gửi cảnh báo khi LB ở trạng thái Pending quá lâu trong quá trình tạo/ cập nhật/ thay đổi cấu hình nhằm phát hiên sớm lỗi provisioning. Operating status Unhealthy Cảnh báo khi LB chuyển sang trạng thải hoạt động không ổn định, hỗ trợ xử lý kịp thời để đảm bảo dịch vụ không bị gián đoạn.   2. Bổ sung lịch sử cảnh báo cho VPN Site-to-Site: Người dùng có thể xem lại toàn bộ lịch sử cảnh báo VPN theo thời gian, bao gồm các thông tin chi tiết lịch sử cảnh báo, từ đó Giúp theo dõi xu hướng lỗi kết nối VPN nhằm phân tích nguyên nhân sự cố. Trong phiên bản tiếp theo của FPT Cloud Guard sẽ ra mắt tính năng cấu hình Auto-resize up cho Load Balancer trên từng cảnh báo Cloud Guard. IV. FPT Backup Native 1.6: Hoàn thiện luồng backup và nâng cao giám sát Phiên bản FPT Backup Native 1.6 tiếp tục bổ sung các luồng quan trọng của tính năng backup cho Volume. Ngoài ra, phiên bản này cũng nâng cấp tab Monitor, cải thiện việc giám sát job theo thời gian thực. Tăng tính ổn định của các luồng auto-report và thông báo qua email. Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud Hotline: 1900 638 399 Email: support@fptcloud.com Support: m.me/fptsmartcloud

Trong vài năm trở lại đây, phần lớn doanh nghiệp có xu hướng chuyển dần sang hạ tầng cloud hoặc các mô hình hybrid. Điều này mang lại tốc độ triển khai ứng dụng vượt bậc nhưng đồng thời cũng thay đổi hoàn toàn cách chúng ta đối diện với rủi ro bảo mật. Từ những cuộc tấn công tinh vi hơn do AI thúc đẩy, đến mức độ phức tạp ngày càng cao của kiến trúc microservices - tất cả đều khiến các công cụ bảo mật truyền thống trở nên “đuối sức". Bài viết này chia sẻ góc nhìn từ quá trình xây dựng hệ thống bảo vệ cloud-native tại FPT Smart Cloud, dựa trên triết lý CNAPP (Cloud-Native Application Protection Platform). Thay vì nói về “một sản phẩm”, chúng ta sẽ nói về “một hành trình” - và hành trình đó bắt đầu từ việc nhìn lại chính những điểm yếu thường trực trong môi trường ứng dụng hiện đại. 1. Khi tốc độ phát triển vượt quá tốc độ kiểm soát: Mối nguy hình thành từ đâu?  Điều đầu tiên cần thừa nhận: Hầu hết lỗ hổng xuất hiện không phải do hacker quá thông minh, mà do hệ thống quá phức tạp và đang thay đổi quá nhanh.  Nếu như trước đây, một ứng dụng cần vài tháng để có một bản cập nhật mới thì ngày nay, một đội DevOps nhỏ có thể triển khai hàng chục phiên bản mới mỗi tuần nhờ pipeline CI/CD luôn hoạt động, commit liên tục và khả năng tạo lập hạ tầng tức thì bằng IaC.Cùng với đó, container, microservices, serverless... khiến bề mặt tấn công được mở rộng theo cấp số nhân. Trong bối cảnh đó, những sai sót như S3 bucket để public, IAM role cấp quyền quá rộng, API key lọt vào repo hay các gói thư viện chứa CVE nghiêm trọng rất dễ bị bỏ sót giữa hàng trăm thay đổi mỗi ngày. Song song với đó, việc AI được sử dụng trong tấn công mạng đã giúp gia tăng tốc và mức độ tinh vi của các kỹ thuật tấn công một cách đáng kể. Một số báo cáo gần đây cho thấy những chiến dịch tấn công có dấu hiệu được tự động hóa bằng AI để mở rộng quy mô dò quét, tạo email giả mạo, thậm chí giả lập hành vi người dùng. Khi bên tấn công có “tốc độ máy”, bên phòng thủ không thể tiếp tục vận hành theo kiểu thủ công. Nói cách khác, tốc độ và mức độ phức tạp của các cuộc tấn công hiện nay khiến doanh nghiệp buộc phải thay đổi chiến lược bảo vệ. 2. Tại sao chỉ quét production là chưa đủ? Một thực tế thú vị trong ngành bảo mật là phần lớn lỗ hổng bảo mật nằm ngay trong code và cấu hình ở giai đoạn đầu, nhưng lại được phát hiện muộn nhất - thường là ở runtime. Trong khi đó, chi phí sửa lỗi trong production có thể tốn kém gấp 30 lần so với khi phát hiện ngay lúc viết code. Con số có thể thay đổi tùy báo cáo, nhưng ý nghĩa thì không đổi khi càng phát hiện muộn, chi phí càng lớn, từ downtime, ảnh hưởng tới người dùng, đến tài nguyên SOC. Thực tế tại nhiều doanh nghiệp, đội vận hành phải dành hàng giờ kiểm tra thủ công sự cố, trong khi nếu doanh nghiệp tích hợp công cụ quét vào pipeline, cùng lỗi đó có thể được phát hiện và ngăn ngay khi developer push code. Như vậy, nếu mục tiêu là “phản ứng nhanh và khắc phục tự động”, việc phòng thủ phải bắt đầu trước khi mã chạy, chứ không thể đợi đến khi incident xảy ra. 3. CNAPP - Giải pháp hợp nhất thay cho hệ thống bảo mật rời rạc Trong nhiều năm, các mảng AppSec, CSPM, CWPP, SIEM, hay SOAR… hoạt động như những “mảnh ghép rời rạc". Mỗi bộ phận triển khai công cụ riêng như đội DevSecOps quản lý SAST/DAST, đội hạ tầng phụ trách CSPM, SOC vận hành SIEM/SOAR hay nhóm vận hành container sử dụng CWPP. Mỗi công cụ này đều có giá trị riêng, nhưng khi đứng tách biệt, chúng không thể trả lời câu hỏi quan trọng nhất: “Trong hàng nghìn cảnh báo mỗi ngày, điều gì thực sự khiến hệ thống gặp rủi ro?” CNAPP ra đời để giải quyết vấn đề này. Đây không phải một sản phẩm cụ thể, mà là một cách hợp nhất góc nhìn bảo mật từ code → hạ tầng → runtime → vận hành. Sau khi gom toàn bộ tín hiệu riêng lẻ vào một bức tranh thống nhất, CNAPP áp dụng phân tích ngữ cảnh để hiểu mối liên hệ giữa chúng. Từ đó, hệ thống có thể xác định, ưu tiên các lỗ hổng quan trọng, tự động hoá bước khắc phục và rút ngắn thời gian phản ứng từ hàng giờ xuống chỉ còn vài phút. Đặc biệt, CNAPP không chỉ quét, nó còn có khả năng hiểu ngữ cảnh. Một lỗ hổng CVE mức cao có thể có mức độ rủi ro thấp nếu container đó không public ra ngoài và hoàn toàn không có traffic. Ngược lại, việc để lộ một API trong repo nhưng pipeline lại không ngăn chặn có thể là mối đe doạ nghiêm trọng. Chỉ khi có bức tranh tổng thể này, doanh nghiệp mới đưa ra quyết định đúng, tập trung vào những rủi ro đáng xử lý nhất mà không bị “ngộp” bởi hàng nghìn cảnh báo ồn ào. 4. Từ kinh nghiệm triển khai: Vì sao AppSec/ASPM nên là điểm khởi đầu? Ở FPT Smart Cloud, AppSec là bước mang lại hiệu quả rõ rệt nhất ngay từ đầu. Các bản quét code giúp phát hiện sớm những lỗi logic hoặc lỗ hổng injection. Việc quét IaC cũng giúp nhận diện các cấu hình sai như việc mở port không cần thiết, bỏ sót encryption hay IAM role quá rộng. Các công cụ secret scan giúp phát hiện kịp thời API key hoặc credentials trong repo. Đồng thời, image scan giúp làm rõ những gói phụ thuộc tồn tại CVE nghiêm trọng. Trước đây, những việc này được làm thủ công mất từ vài giờ đến vài ngày. Sau khi tự động hóa trong pipeline CI/CD, thời gian xử lý rút xuống chỉ còn vài phút. Chính vì vậy, điểm cốt lõi không nằm ở việc “dùng công cụ gì”, mà ở cách đưa bảo mật vào đúng thời điểm, biến nó thành một phần tự nhiên của vòng đời phát triển. Tham khảo: FPT AppSec hỗ trợ đội ngũ bảo mật tìm ra CVE-2025-63601 tại đây. 5. Từ code đến vận hành: Các lớp bảo mật doanh nghiệp cần mở rộng AppSec giúp giảm rủi ro từ gốc, nhưng để một hệ thống thực sự có khả năng phát hiện và phản ứng nhanh, doanh nghiệp cần thêm các lớp bảo vệ mạnh mẽ. CSPM (Cloud Security Posture Management) đóng vai trò quan sát cấu hình cloud theo thời gian thực. Nhờ đó, doanh nghiệp có thể phát hiện các rủi ro như storage bucket bị public, network rule mở quá rộng, các encryption bị tắt hoặc các dữ liệu nhạy cảm nằm sai vị trí. Điều đáng nói là phần lớn những sự cố cloud lớn trong suốt thập kỷ qua đều bắt nguồn từ cấu hình sai tương tự. Bên cạnh CSPM, CWPP (Cloud Workload Protection Platform)giúpbảo vệ workload trong quá trình runtime với khả năng phát hiện những hành vi bất thường, quy trình lạ trong container/VM, hỗ trợ tự động cô lập phiên bản bị xâm nhập. Ở tầng mạng, Cloud Network Firewall đóng vai trò phòng thủ quan trọng trong các môi trường multi-cloud hoặc hybrid. Firewall giúp phân vùng mạng, giảm nguy cơ lateral movement. Một số giải pháp firewall hiện đại còn tích hợp thêm WAF hoặc IDPS. Cuối cùng, SIEM kết hợp cùng SOAR giúp kết nối mọi dữ liệu để tự động hóa phản ứng. Một nền tảng SIEM/SOAR mạnh có khả năng thu thập log từ AppSec, CSPM, CWPP, Firewall, IAM sau đó mapping theo MITRE ATT&CK để xác minh hành vi tấn công, thay vì xem từng alert nhỏ lẻ. Khi cần, hệ thống có thể tự động chạy playbook để cô lập workload, vô hiệu hoá credential, chặn IP độc hại mà không cần con người can thiệp. Đây là bước quan trọng giúp doanh nghiệp chuyển từ thế “bị động" sang “chủ động". 6. FPT Cloud Defense - Giải pháp hiện thực hoá CNAPP theo cách linh hoạt FPT Cloud Defense hiện thực hoá triết lý CNAPP bằng cách chia nhỏ thành các năng lực dễ áp dụng và phù hợp với trạng thái trưởng thành của doanh nghiệp theo lộ trình: Bước 1: Bắt đầu bằng AppSec/ASPM, vì đây là phần dễ triển khai nhất và mang lại giá trị tức thì. Bước 2: Mở rộng sang CSPM và CWPP để quan sát posture và runtime. Bước 3: Kết hợp Cloud Network Firewall để bảo đảm phân vùng mạng và phòng thủ tầng network. Bước 4: Hợp nhất tất cả vào SIEM/SOAR, từ đó cho phép tự động hóa khắc phục theo mô hình end-to-end. Điều quan trọng là cách tiếp cận phù hợp, FPT Cloud Defense không phải là một “siêu sản phẩm" hay cố thay đổi toàn bộ hệ thống ngay lập tức, FPT Cloud Defense giúp doanh nghiệp từng bước, giúp nhìn rõ bề mặt tấn công, giảm thiểu lỗ hổng ngay từ code, xây dựng khả năng tự động xử lý sự cố theo playbook và giảm áp lực đáng kể cho đội SOC và DevSecOps. 7. Doanh nghiệp nên bắt đầu từ đâu? Từ góc nhìn và kinh nghiệm triển khai thực tiễn, đây là thứ tự mà nhiều tổ chức chọn khi triển khai bảo mật cloud-native: Bước 1: Triển khai AppSec/ASPM vào pipeline CI/CD. Bắt đầu bằng secret scan và IaC scan - hai nguồn rủi ro phổ biến nhất. Bước 2: Kích hoạt CSPM cơ bản để sửa lỗi cấu hình sớm. Bước 3: Thiết lập bảo vệ runtime (CWPP) cho workload quan trọng. Bước 4: Tối ưu firewall & network segmentation, nhất là nếu có multi-cloud. Bước 5: Kết nối vào SIEM, xây playbook SOAR, ưu tiên 2-3 playbook quan trọng trước (ví dụ: khóa tài khoản bị xâm nhập, chặn IP, rollback cấu hình). Bước 6: Tối ưu liên tục bằng cách đưa dữ liệu từ sự cố thực tế quay về quy trình phát triển. Đây là cách hầu hết doanh nghiệp trưởng thành về bảo mật cloud-native thực hiện trong 3-6 tháng đầu để tăng cường khả năng phòng thủ trước những cuộc tấn công mạng tinh vi. 8. Doanh nghiệp chuyển từ “chống đỡ” sang “chủ động” Câu chuyện bảo mật không còn là “đặt thêm tường lửa” hay “mua thêm công cụ”. Điều quan trọng doanh nghiệp cần là khả năng nhìn thấy rủi ro xuyên suốt - từ code tới production - và xử lý nó trước khi gây thiệt hại. Triết lý CNAPP, cùng sự kết hợp giữa AppSec, CSPM, CWPP, Network Firewall và SIEM/SOAR chính là cách tiếp cận giúp doanh nghiệp chủ động, thống nhất hơn trong bảo vệ toàn bộ hệ thống. Với FPT Cloud Defense, chúng tôi không đặt mục tiêu tạo ra “một công cụ thần kỳ”, mà hướng tới tạo ra một phương pháp phòng thủ hiện đại, giúp doanh nghiệp Việt Nam nâng cao năng lực bảo mật theo đúng cách mà thế giới đang chuyển dịch. Lắng nghe chia sẻ đầy đủ về cách tiếp cận phòng thủ chủ động dựa trên CNAPP và ASPM từ anh Lê Ngọc Linh, Chuyên gia bảo mật, FPT Smart Cloud, Tập đoàn FPT tại đây. Tác giả: Lê Ngọc Linh, Chuyên gia bảo mật, FPT Smart Cloud, Tập đoàn FPT Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud Hotline: 1900 638 399 Email: support@fptcloud.com Support: m.me/fptsmartcloud

Nằm trong chiến lược nâng cấp trải nghiệm quản trị chi phí cho khách hàng FPT Cloud, FPT Data Suite chính thức ra mắt Advanced Cost Explorer (ACE) – giải pháp phân tích, giám sát và dự báo chi phí toàn diện, giúp doanh nghiệp chủ động nắm bắt ngân sách, phát hiện bất thường và tối ưu tài nguyên theo thời gian thực. Giới thiệu về Advanced Cost Explorer Đây là bản nâng cấp từ tính năng Cost Explorer, giúp giải quyết bài toán doanh nghiệp thường gặp khi quản trị chi phí Cloud: dữ liệu phân tán, khó theo dõi và tốn thời gian tổng hợp báo cáo. Hệ thống giúp chuẩn hóa và mô hình hóa theo nhiều chiều phân tích, đồng thời kích hoạt dashboard mẫu để doanh nghiệp có thể theo dõi chi phí tức thì và phát hiện sớm biến động bất thường. Cách thức hoạt động của tính năng Advanced Cost Explorer Tự động thu thập & mô hình hóa dữ liệu Khi sử dụng tính năng Advanced Cost Explorer, toàn bộ dữ liệu chi phí từ FPT Cloud sẽ được tự động đồng bộ sang FPT Data Suite mà không cần ETL thủ công. Hệ thống chuẩn hóa và mô hình hóa dữ liệu theo dự án, phòng ban, môi trường hay loại tài nguyên, đảm bảo doanh nghiệp có một nguồn dữ liệu nhất quán, liên tục và sẵn sàng cho phân tích chuyên sâu. Minh bạch chi phí theo thời gian thực Dữ liệu được cập nhật theo thời gian thực giúp doanh nghiệp theo dõi toàn bộ hoạt động tiêu thụ tài nguyên ở từng cấp độ. Sự minh bạch này hỗ trợ các nhà quản lý nhanh chóng đưa ra quyết định, hiểu được nguyên nhân biến động và đảm bảo chi phí Cloud luôn nằm trong tầm kiểm soát.   Phân tích chuyên sâu các ngân sách dành cho các nguồn tiêu thụ tài nguyên và dự báo các chi phí biến động    Khi sử dụng Advanced Cost Explorer, doanh nghiệp có thể tăng khả năng giám sát ngân sách và hạn chế tối đa các khoản chi phát sinh ngoài dự kiến nhờ vào hai mẫu báo cáo: Advanced Cost Explorer và Forecasted Cost. Đặc biệt, toàn bộ hệ thống báo cáo có thể được kích hoạt và vận hành mà không cần đội ngũ kỹ thuật chuyên sâu, giúp doanh nghiệp tiết kiệm thời gian và nguồn lực.  Báo cáo Advanced Cost Explorer  Với báo cáo này, người dùng dễ dàng theo dõi mức tiêu thụ theo thời gian và đánh giá mức độ phù hợp với ngân sách. Ngoài ra, báo cáo cung cấp nhiều góc nhìn phù hợp với từng doanh nghiệp, dễ dàng xác định đâu là khu vực tối ưu tốt, đâu là điểm nóng chi phí cần cải thiện:   Xem chi phí theo từng project / team / ứng dụng; Phân tích chi phí theo từng loại tài nguyên (compute, storage, database,); Theo dõi chi phí theo môi trường (prod / staging / dev / test); So sánh chi phí theo đơn vị kinh doanh / chi nhánh / vùng triển khai; Báo cáo Forecasted Cost  Bên cạnh đó, với báo cáo Forecasted Cost, người dùng sẽ xem được chi phí đầu tháng, chi phí thực dùng đến thời điểm hiện tại và chi phí dự kiến đến cuối tháng.   Nhờ phân tích xu hướng tiêu thụ, Forecasted Cost giúp doanh nghiệp ước lượng chính xác nguy cơ vượt trần, từ đó phân bổ nguồn lực và lập kế hoạch ngân sách chủ động, hạn chế hoàn toàn trường hợp bội chi bất ngờ. Giá trị nổi bật khi sử dụng tính năng Advanced Cost Explorer Với hệ thống dữ liệu chuẩn hóa và dashboard dựng sẵn, doanh nghiệp có thể bắt đầu đo lường - phân tích - tối ưu chi phí Cloud chỉ trong vài phút, thay vì mất hàng tuần hoặc hàng tháng như cách truyền thống. Trải nghiệm ngay Advanced Cost Explorer tại đây. Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud   Hotline: 1900 638 399      Email: support@fptcloud.com      Support: m.me/fptsmartcloud