Chuyển đến nội dung chính
CloudThinker triển khai bảo mật cấp doanh nghiệp để bảo vệ dữ liệu hạ tầng cloud và đảm bảo chỉ người dùng được ủy quyền mới có thể truy cập các thao tác nhạy cảm.

Tại sao bảo mật quan trọng với nền tảng vận hành AI

Agent của CloudThinker có quyền đọc (và tùy chọn ghi) vào hạ tầng cloud của bạn. Điều này rất mạnh mẽ — nó cho phép phân tích và tối ưu hóa tự chủ trên toàn bộ tài khoản cloud. Nhưng điều đó cũng có nghĩa là bản thân nền tảng cần được tăng cường bảo mật chống lại truy cập trái phép, rò rỉ thông tin xác thực và tấn công prompt injection. Mô hình bảo mật được thiết kế xung quanh các nguyên tắc sau:
  • Đặc quyền tối thiểu theo mặc định: agent sử dụng thông tin xác thực chỉ đọc trừ khi quyền ghi được cấu hình và phê duyệt rõ ràng
  • Không tồn lưu: không có hành động agent nào sửa đổi hạ tầng mà không qua quy trình phê duyệt
  • Phòng thủ theo chiều sâu: MFA, SSO, RBAC, ghi nhật ký kiểm tra và cách ly sandbox kết hợp để bảo vệ chống cả tấn công bên ngoài lẫn lạm dụng nội bộ
  • Minh bạch: mọi hành động agent đều được ghi lại kèm người dùng đã khởi tạo, chuỗi phê duyệt và lệnh chính xác được thực thi

Phương thức xác thực

Phương thứcMô tả
Email & Mật khẩuXác thực tiêu chuẩn với yêu cầu mật khẩu bảo mật
Xác thực đa yếu tốMFA dựa trên TOTP để tăng cường bảo mật
Single Sign-On (SSO)Tích hợp SAML/OIDC với nhà cung cấp danh tính của bạn
Khóa APITruy cập lập trình an toàn vào API

Xác thực đa yếu tố (MFA)

Thêm một lớp bảo mật bổ sung với MFA dựa trên TOTP:

Bật MFA

1

Điều hướng đến Cài đặt bảo mật

Vào Profile > Security Settings
2

Bật MFA

Nhấp Enable Multi-Factor Authentication
3

Quét mã QR

Dùng ứng dụng xác thực (Google Authenticator, Authy, 1Password, v.v.) để quét mã QR
4

Xác minh thiết lập

Nhập mã 6 chữ số từ ứng dụng xác thực để xác nhận thiết lập
5

Lưu mã dự phòng

Tải xuống và lưu trữ an toàn các mã dự phòng để khôi phục tài khoản

MFA khi đăng nhập

Khi MFA được bật:
  1. Nhập email và mật khẩu của bạn
  2. Nhập mã 6 chữ số hiện tại từ ứng dụng xác thực
  3. Được cấp quyền truy cập

Tùy chọn khôi phục

Nếu bạn mất quyền truy cập vào ứng dụng xác thực:
  • Dùng mã dự phòng (dùng một lần)
  • Liên hệ admin tổ chức để đặt lại MFA
  • Liên hệ hỗ trợ với xác minh danh tính
Lưu trữ mã dự phòng an toàn. Mỗi mã chỉ có thể dùng một lần. Nếu bạn mất tất cả mã dự phòng và ứng dụng xác thực, việc khôi phục tài khoản có thể yêu cầu xác minh danh tính.

Single sign-on (SSO)

Gói Enterprise hỗ trợ tích hợp SSO: SSO được cấu hình bởi Chủ sở hữu tổ chức trong Admin Settings → Identity and access. Các khả năng chính:
  • Xác minh domain — chứng minh quyền sở hữu domain email của bạn trước khi bật SSO
  • SAML hoặc OIDC — chọn giao thức mà nhà cung cấp danh tính của bạn hỗ trợ
  • Bắt buộc SSO — tùy chọn yêu cầu tất cả người dùng có domain đã xác minh phải xác thực qua SSO
  • JIT provisioning — tự động tạo tài khoản người dùng khi đăng nhập SSO lần đầu
  • Đồng bộ thư mục SCIM — tự động hóa cấp phép người dùng và nhóm từ IdP của bạn

Cấu hình SSO

Hướng dẫn thiết lập SSO

Thiết lập từng bước cho Google Workspace, Azure AD, AWS IAM Identity Center, Okta, OneLogin và SAML/OIDC chung

Bắt buộc SSO

Admin tổ chức có thể bắt buộc SSO:
  • Yêu cầu tất cả người dùng xác thực qua SSO
  • Tắt đăng nhập bằng mật khẩu
  • Tự động cấp phép người dùng khi đăng nhập SSO lần đầu
  • Tự động hủy cấp phép khi bị xóa khỏi IdP

Kiểm soát truy cập dựa trên vai trò (RBAC)

Kiểm soát những gì người dùng có thể làm với quyền chi tiết:

Vai trò tổ chức

Vai tròMô tảQuyền
OwnerKiểm soát tổ chức đầy đủTất cả quyền, thanh toán, quản lý thành viên
AdminQuản trị tổ chứcQuản lý workspace, thành viên, cài đặt (không có thanh toán)
MemberTruy cập tiêu chuẩnTruy cập workspace được giao, sử dụng agent
ViewerChỉ đọcXem bảng điều khiển và báo cáo

Vai trò workspace

Vai tròMô tảQuyền
Workspace AdminKiểm soát workspace đầy đủTất cả thao tác workspace, quản lý thành viên
EditorThao tác tiêu chuẩnChạy agent, tạo đề xuất, chỉnh sửa cài đặt
OperatorThao tác giới hạnChạy agent, xem dữ liệu, không thể chỉnh sửa cài đặt
ViewerChỉ đọcXem bảng điều khiển, báo cáo và đề xuất

Ma trận quyền

Hành độngOwnerAdminEditorOperatorViewer
Xem bảng điều khiển
Chạy hội thoại agentKhông
Tạo đề xuấtKhôngKhông
Phê duyệt thao tácKhôngKhông
Quản lý kết nốiKhôngKhông
Quản lý thành viênKhôngKhôngKhông
Cài đặt tổ chứcKhôngKhôngKhông
Thanh toánKhôngKhôngKhôngKhông

Xác thực API

Truy cập lập trình an toàn vào CloudThinker:

Khóa API

Tạo khóa API để tự động hóa:
  1. Vào Profile > API Keys
  2. Nhấp Create API Key
  3. Đặt tên khóa và thời hạn hết hạn
  4. Sao chép khóa (chỉ hiển thị một lần)
  5. Dùng trong các yêu cầu API
# Ví dụ yêu cầu API
curl -H "Authorization: Bearer <api_key>" \
  https://api.cloudthinker.io/v1/workspaces

Quản lý khóa

  • Xoay vòng: Thường xuyên xoay vòng khóa (khuyến nghị: mỗi 90 ngày)
  • Giới hạn phạm vi: Giới hạn khóa cho các thao tác cụ thể khi có thể
  • Giám sát: Xem xét sử dụng khóa trong nhật ký kiểm tra
  • Thu hồi: Ngay lập tức thu hồi các khóa bị xâm phạm
Không bao giờ commit khóa API vào kiểm soát phiên bản. Dùng biến môi trường hoặc công cụ quản lý secret.

Token OAuth

Đối với các tích hợp dùng OAuth:
  • Token được tự động làm mới
  • Thu hồi quyền truy cập từ Settings > Connected Apps
  • Giám sát sử dụng token trong nhật ký kiểm tra

Bảo mật dữ liệu

Mã hóa

CloudThinker bảo vệ dữ liệu của bạn với:
LớpBảo vệ
Truyền tảiTLS 1.3 cho tất cả kết nối
Lưu trữMã hóa AES-256
SecretLưu trữ thông tin xác thực mã hóa
Sao lưuSao lưu cơ sở dữ liệu được mã hóa

Tự cung cấp khóa mã hóa (BYOK)

Khách hàng Enterprise có thể dùng khóa mã hóa của riêng họ:
  1. Cấu hình AWS KMS hoặc tương tự
  2. Cung cấp ARN khóa cho CloudThinker
  3. Khóa của bạn mã hóa dữ liệu nhạy cảm
  4. Duy trì toàn quyền kiểm soát khóa

Cấu hình BYOK

Thiết lập mã hóa Bring Your Own Key

Lưu trú dữ liệu

  • Chọn vùng dữ liệu khi tạo workspace
  • Dữ liệu ở trong vùng đã chọn
  • Tùy chọn đa vùng cho dự phòng

Ghi nhật ký kiểm tra

Theo dõi tất cả hoạt động trong CloudThinker:

Sự kiện được ghi lại

  • Xác thực người dùng (đăng nhập, đăng xuất, MFA)
  • Truy cập và chỉnh sửa tài nguyên
  • Hội thoại và hành động agent
  • Thay đổi quản trị
  • Truy cập API

Xem nhật ký kiểm tra

  1. Điều hướng đến Admin Settings > Organization
  2. Lọc theo:
    • Người dùng
    • Loại hành động
    • Tài nguyên
    • Khoảng thời gian
  3. Xuất nhật ký để tuân thủ

Lưu giữ nhật ký

  • Tiêu chuẩn: 90 ngày
  • Professional: 1 năm
  • Enterprise: Có thể cấu hình (lên đến 7 năm)

Thực tiễn bảo mật tốt nhất

Yêu cầu MFA cho tất cả thành viên tổ chức, đặc biệt là những người có quyền admin. Cân nhắc bắt buộc qua chính sách SSO.
Giao vai trò tối thiểu cần thiết cho trách nhiệm của mỗi người dùng. Thường xuyên xem xét và điều chỉnh quyền.
Xoay vòng khóa API, token làm mới và thông tin xác thực cloud theo lịch đều đặn.
Thường xuyên xem xét nhật ký kiểm tra để phát hiện hoạt động đáng ngờ. Thiết lập cảnh báo cho các sự kiện quan trọng.
Dùng thông tin xác thực chỉ đọc khi có thể. Giới hạn phạm vi cho các dịch vụ và vùng cần thiết.
Thực hiện kiểm tra quyền truy cập hàng quý. Xóa người dùng không hoạt động và thu hồi quyền không cần thiết.

Tuân thủ

CloudThinker duy trì tuân thủ với:
  • SOC 2 Type II: Bảo mật, tính khả dụng và bảo mật thông tin
  • GDPR: Bảo vệ dữ liệu cho người dùng EU
  • HIPAA: Xử lý dữ liệu y tế (Enterprise)
  • ISO 27001: Quản lý bảo mật thông tin

Yêu cầu tài liệu tuân thủ

Liên hệ chúng tôi để được hỗ trợ bảng câu hỏi bảo mật và tài liệu tuân thủ

Liên quan

Single sign-on

Cấu hình SSO SAML hoặc OIDC với Google Workspace, Azure AD, Okta và nhiều hơn nữa

Cấp phép SCIM

Tự động hóa đồng bộ người dùng và nhóm từ nhà cung cấp danh tính của bạn