Tài liệu này tổng hợp các câu hỏi sâu về bảo mật mà CISO và CSO phía khách hàng đặt ra khi đánh giá năng lực OKAXI. Trả lời tham chiếu trực tiếp tiêu chuẩn quốc tế và thực tiễn vận hành sản xuất hiện tại.
Dữ liệu at-rest mã hóa bằng AES-256 tiêu chuẩn FIPS 197. Mã hóa áp dụng ở ba lớp. Lớp một là disk encryption native của cloud provider (LUKS hoặc AWS EBS encryption). Lớp hai là database TDE (Transparent Data Encryption) trên PostgreSQL và MongoDB. Lớp ba là field-level encryption với envelope key cho dữ liệu nhạy cảm như password hash, PII và contract financial data.
Mọi kết nối từ client ra public endpoint đi qua TLS 1.3 với forward secrecy mặc định. TLS 1.2 chỉ chấp nhận cho legacy client cụ thể, không bao giờ TLS 1.0 hay 1.1. Cipher suite whitelist gồm AES-256-GCM và ChaCha20-Poly1305. Internal service-to-service traffic dùng mTLS qua service mesh (Istio hoặc Linkerd) với certificate auto-rotate mỗi 24 giờ.
OKAXI dùng dedicated KMS cho từng môi trường (production, staging, development). Master key sống trong HSM (AWS CloudHSM, Azure Key Vault Premium, hoặc on-premise Thales Luna). Data encryption key (DEK) sinh runtime, wrap bởi master key, chỉ unwrap trong process memory. Key rotation tự động mỗi 90 ngày. Old key giữ lại 1 năm cho decrypt-only operations.
Có. Khách hàng enterprise mang HSM riêng (Thales, Entrust, hoặc AWS CloudHSM cluster) và provide master key qua secure channel. OKAXI chỉ cấp wrap/unwrap operation qua KMS API, không bao giờ touch raw key material. Khách hàng có quyền revoke key tại bất kỳ thời điểm. Sau khi revoke, OKAXI không decrypt được dữ liệu nữa. Chính sách này phù hợp với khách hàng yêu cầu strict data sovereignty.
OKAXI áp dụng deterministic encryption cho field cần search (email, tax_id) và randomized encryption cho field chỉ đọc/ghi (salary, contract_value). Deterministic sinh ciphertext giống nhau cho cùng plaintext, cho phép equality search trên ciphertext. Randomized sinh ciphertext khác mỗi lần để bảo vệ tốt hơn nhưng không search được. Lựa chọn pattern dựa trên use case sau threat model review.
OKAXI có ba pattern isolation tùy contract khách hàng. Pattern A là logical isolation: shared infrastructure, shared database, mỗi tenant có tenant_id trên mọi row và row-level security policy. Pattern B là database-per-tenant: shared compute, isolated database, tăng cost nhưng tăng isolation. Pattern C là dedicated infrastructure: VPC riêng, cluster K8s riêng, hardware riêng tùy hợp đồng. Pattern C phù hợp khách hàng banking, healthcare hoặc government.
Có bốn lớp ngăn chặn. Một là database query layer với mandatory tenant_id filter, library tự động inject vào mọi query, bypass cần explicit override có audit log. Hai là API gateway extract tenant_id từ JWT, deny request không match. Ba là cache key prefix tenant_id, không bao giờ share cache slot. Bốn là background job tagging tenant_id trong message metadata, consumer reject job nếu cross-tenant.
OKAXI dùng VPC riêng cho mỗi tenant Pattern C. Mỗi VPC chia subnet thành public (load balancer), private app (workload) và private data (database, cache). Security group whitelist cụ thể giữa subnet. Không có public IP trên private subnet. Egress qua NAT gateway có whitelist FQDN duy nhất. Cross-VPC traffic chỉ qua VPC peering với explicit route, không bao giờ default route bridging.
OKAXI không cho phép SSH trực tiếp vào production instance. Mọi access qua bastion host với hai yếu tố: SSH key ngắn hạn (4 giờ) cấp qua HashiCorp Vault và OTP (2FA). Session ghi lại đầy đủ qua asciinema và stream về SIEM. Sudo elevation cần approval qua chat ops bot từ second engineer. Production access window log audit lưu 7 năm.
OKAXI áp dụng zero-trust ở ba lớp. Lớp identity: mọi service authenticate qua mTLS với SPIFFE ID, không có IP-based trust. Lớp authorization: mọi request decision qua central policy engine (OPA), không bao giờ assume trusted network. Lớp data: mã hóa end-to-end giữa service, không trust transit network ngay cả trong VPC. Continuous verification qua audit log review hàng tuần.
OKAXI dùng WAF managed ở edge (AWS WAF hoặc Cloudflare WAF) kết hợp inline WAF (ModSecurity với OWASP CRS) ở Ingress layer. Rule set bao gồm OWASP Top 10 protection (SQL injection, XSS, RCE), rate limit per IP, geo-block country list, và custom rule cho business logic abuse. Khách hàng có thể bật tắt rule per environment qua admin console. False positive rate dưới 0.1 phần trăm trên production traffic.
OKAXI có ba lớp chống DDoS. Lớp một là DNS-level qua Cloudflare hoặc AWS Shield Advanced với always-on absorption capacity TB mỗi giây. Lớp hai là edge rate limiting per source IP và per ASN. Lớp ba là application-level circuit breaker tự ngắt khi error rate burst. Anycast IP routing absorb traffic toàn cầu.
OKAXI chạy bốn lớp scan định kỳ. SAST (Snyk, SonarQube) trên mọi pull request và commit. Container scan trên mọi image build qua Trivy hoặc Aqua. DAST (OWASP ZAP, Burp Suite) trên staging environment mỗi đêm. Infrastructure scan (Tenable hoặc Qualys) trên production weekly. Critical CVE patch trong 24 giờ. High CVE patch trong 7 ngày. Medium trong 30 ngày.
OKAXI có on-call security team monitoring CVE feed (NVD, vendor advisory) 24/7. Khi zero-day công bố, team đánh giá exposure trong 2 giờ. Nếu impact, hot-patch hoặc workaround (rule WAF tạm, feature flag tắt component) deploy trong 8 giờ. Vendor patch áp dụng sau test trong vòng 24 đến 48 giờ. Communication tới khách hàng affected qua email và in-app banner.
OKAXI có incident response playbook theo NIST SP 800-61. Sáu giai đoạn: prepare, identify, contain, eradicate, recover, post-mortem. Severity 1 (data breach confirmed) escalate trong 15 phút, war room kích hoạt, communication channel dedicated. Customer notification trong 72 giờ theo GDPR. Post-mortem internal trong 14 ngày với root cause analysis và action item. Lessons learned đi vào training và playbook update.
OKAXI backup theo three-tier strategy. Tier 1 (Database): continuous WAL streaming, point-in-time recovery, RPO 1 phút, RTO 30 phút. Tier 2 (Application state): daily snapshot, cross-region replication, RPO 24 giờ, RTO 4 giờ. Tier 3 (Cold archive): monthly snapshot trên Glacier hoặc Coldline, RPO 30 ngày, RTO 24 giờ. Backup được mã hóa AES-256 trước khi rời production VPC.
OKAXI deploy multi-region active-standby cho khách hàng enterprise. Primary region (Singapore) replicate dữ liệu sang DR region (Tokyo) qua DB replica và Kafka cross-cluster mirror. Failover RTO 1 giờ, RPO 5 phút cho hot data. Failover trigger qua runbook tự động khi primary region down nhiều consecutive health check fail. Annual DR exercise full traffic switch sang DR region để verify procedure.
Có. OKAXI chạy restore drill ba cấp độ. Daily: automated PIT recovery test cho random database, verify integrity, không cần human. Monthly: full backup restore vào isolated environment, application stack lên xanh, smoke test pass. Quarterly: cross-region DR drill, switch traffic, run production-like load 2 giờ, switch back. Mọi drill result đi vào compliance report.
OKAXI commit notification trong 72 giờ theo GDPR Article 33-34. Khi breach confirmed, ba việc xảy ra song song. Một là internal containment và investigation. Hai là legal và compliance review impact và notification requirement (GDPR, Vietnam PDPA, CCPA tùy customer region). Ba là customer notification qua designated contact person với assessment scope, remediation step, và evidence preservation. Public disclosure tùy thuộc severity và regulatory mandate.
