Trong một bài viết chia sẻ ngày 20/04/2026, ông Ilya Grebnov, Phó Giám đốc An ninh Thông tin (Deputy CISO) phụ trách Microsoft Dynamics 365 và Power Platform, đã phân tích về các cuộc tấn công mạng cơ hội (opportunistic cyberattacks) và cách ngăn chặn chúng ngay từ khâu thiết kế. Thay vì chỉ đối phó khi sự cố xảy ra, doanh nghiệp có thể chủ động giảm thiểu rủi ro bằng cách áp dụng hai chiến lược nền tảng: loại bỏ thông tin xác thực và triển khai platform engineering để chuẩn hóa hạ tầng.
Loại bỏ thông tin xác thực (credential) và lợi ích của Managed Identity
Theo ông Grebnov, hầu hết kẻ tấn công không đột nhập vào hệ thống mà đăng nhập bằng thông tin xác thực bị đánh cắp. Giải pháp đáng tin cậy hơn việc yêu cầu mật khẩu mạnh là loại bỏ hoàn toàn các thông tin bí mật (secret) như mật khẩu, client secret và API key. Nguyên tắc của Microsoft rất đơn giản: nếu một workload có thể xác thực mà không cần secret, nó nên làm vậy.
Trên thực tế, việc loại bỏ credential là một lựa chọn về thiết kế. Trên Azure, cơ chế chính để thực hiện điều này là sử dụng managed identities (danh tính cho workload do Microsoft Entra ID cấp) và các mô hình danh tính liên kết (federated identity) để tạo token truy cập tạm thời với quyền hạn tối thiểu (just-in-time, just-enough-access). Cách tiếp cận này loại bỏ rủi ro từ việc lưu trữ, quên xoay vòng, hoặc vô tình làm lộ secret.
Microsoft cũng đã mở rộng các mô hình không cần credential cho khách hàng. Power Platform Managed Identity (PPMI) cung cấp cho các thành phần như Dataverse plugin và Power Automate một danh tính để xác thực với tài nguyên Azure. Tương tự, Microsoft Entra Agent ID coi các AI agent (ví dụ, tạo trong Copilot Studio) như những danh tính hạng nhất, cho phép kiểm kê, quản trị và ràng buộc trách nhiệm.
Việc loại bỏ credential thường đi đôi với loại bỏ endpoint công khai. Khi các workload xác thực bằng managed identity, doanh nghiệp có thể:
- Sử dụng private endpoint/private link để giữ các dịch vụ khỏi Internet công cộng.
- Vô hiệu hóa các cổng quản trị truy cập từ bên ngoài (RDP/SSH) và thay bằng các phương thức truy cập trung gian như just-in-time hoặc bastion.
- Thực thi nguyên tắc đặc quyền tối thiểu (least privilege) ở cấp độ token, giảm thiểu bán kính ảnh hưởng nếu token bị lạm dụng.
Kết hợp lại, các chiến thuật này loại bỏ những con đường tấn công dễ dàng nhất, khiến việc di chuyển ngang (lateral movement) của kẻ tấn công trở nên khó khăn hơn đáng kể.
Platform Engineering: Chuẩn hóa để bảo mật ở quy mô lớn
Kẻ tấn công cơ hội phát triển mạnh nhờ sự thiếu nhất quán trong hệ thống. Theo ông Grebnov, mỗi ngoại lệ trong kiến trúc đều tạo ra rủi ro. Để thành công dài hạn, Microsoft đưa ra các quyết định tập trung và loại bỏ không gian cho các diễn giải tùy ý, biến lời khuyên “làm điều đúng đắn” thành chính sách bắt buộc.
Trên thực tế, điều này có nghĩa là chuẩn hóa các thành phần tính toán và giao tiếp chung, không cho phép các mô hình dễ bị lỗi và thực thi các biện pháp kiểm soát giống nhau ở mọi nơi. Khi đó, sẽ có ít chỗ cho các lỗi cấu hình và ít cơ hội hơn cho kẻ tấn công xâm nhập.
Platform engineering mang lại lợi ích lớn nhất ở quy mô lớn. Ông Grebnov ước tính thời điểm thích hợp nhất để áp dụng là khi doanh nghiệp đạt quy mô 500 kỹ sư. Bắt đầu quá sớm có thể cản trở sự thử nghiệm lành mạnh; bắt đầu quá muộn khiến việc di chuyển và dọn dẹp trở nên khó khăn hơn theo cấp số nhân.
Trước khi chuyển đổi, doanh nghiệp cần chuẩn bị:
- Các paved paths (lộ trình được định sẵn) an toàn mặc định, bao gồm runtime, thư viện và pipeline.
- Sử dụng policy-as-code để chặn các mẫu đã lỗi thời và thực thi xác thực dựa trên danh tính.
- Sự bảo trợ từ cấp lãnh đạo để duy trì tính nhất quán và giảm thiểu sự phức tạp cho các nhóm phát triển.
Sự thay đổi tư duy này rất quan trọng: nó định hình lại vai trò của đội ngũ bảo mật từ “nhóm nói không” thành “nhóm thiết kế các mặc định mà mọi người có thể tin tưởng”. Khi bảo mật và platform engineering hợp tác, các biện pháp kiểm soát được tích hợp sẵn thay vì trang bị thêm, và mọi dịch vụ đều được thừa hưởng các biện pháp bảo vệ giống nhau ngay từ đầu.
Tăng cường khả năng phục hồi và tính nhất quán
Loại bỏ credential và platform engineering không phải là những chiến thắng nhanh chóng. Đây là những bước đi nền tảng giúp định hình lại khả năng phòng thủ ở quy mô lớn. Dù đòi hỏi sự phối hợp lâu dài, kết quả thu được là khả năng phục hồi, tính nhất quán và bề mặt tấn công được thu hẹp đáng kể.
Microsoft tiếp tục đổi mới trong lĩnh vực này. Về danh tính, hãng đang hướng tới platform provisioned identities — các danh tính được tạo tự động cho mỗi dịch vụ, được phân vùng và chỉ cấp quyền tối thiểu cần thiết. Điều này giúp giảm đáng kể bán kính ảnh hưởng nếu kẻ tấn công có được chỗ đứng.
Sự chuẩn hóa là yếu tố nhân rộng sức mạnh cho bảo mật nền tảng. Tại Microsoft, nhờ các dịch vụ cốt lõi (core services) thực thi các mẫu nhất quán, một thay đổi trên nền tảng có thể bảo vệ hơn 450 dịch vụ của hãng. Điều này tiết kiệm thời gian, giảm trùng lặp và giúp chứng minh sự tuân thủ dễ dàng hơn.
Nền tảng của tất cả những điều này là ý tưởng về paved paths: các lựa chọn mặc định được định sẵn giúp cho việc chọn giải pháp an toàn trở thành lựa chọn dễ dàng nhất. Đây là cách Microsoft biến bảo mật từ một danh sách kiểm tra thành một yếu tố thúc đẩy, và làm cho các cuộc tấn công cơ hội trở nên khó thực hiện hơn nhiều.
Để tìm hiểu thêm về các giải pháp Bảo mật của Microsoft, hãy truy cập website của hãng. Đánh dấu trang Security blog để theo dõi các phân tích chuyên sâu về các vấn đề bảo mật. Đồng thời, theo dõi Microsoft trên LinkedIn (Microsoft Security) và X (@MSFTSecurity) để cập nhật những tin tức mới nhất về an ninh mạng.
