Tại sao bảo mật quan trọng với nền tảng vận hành AI
Agent của CloudThinker có quyền đọc (và tùy chọn ghi) vào hạ tầng cloud của bạn. Điều này rất mạnh mẽ — nó cho phép phân tích và tối ưu hóa tự chủ trên toàn bộ tài khoản cloud. Nhưng điều đó cũng có nghĩa là bản thân nền tảng cần được tăng cường bảo mật chống lại truy cập trái phép, rò rỉ thông tin xác thực và tấn công prompt injection. Mô hình bảo mật được thiết kế xung quanh các nguyên tắc sau:- Đặc quyền tối thiểu theo mặc định: agent sử dụng thông tin xác thực chỉ đọc trừ khi quyền ghi được cấu hình và phê duyệt rõ ràng
- Không tồn lưu: không có hành động agent nào sửa đổi hạ tầng mà không qua quy trình phê duyệt
- Phòng thủ theo chiều sâu: MFA, SSO, RBAC, ghi nhật ký kiểm tra và cách ly sandbox kết hợp để bảo vệ chống cả tấn công bên ngoài lẫn lạm dụng nội bộ
- Minh bạch: mọi hành động agent đều được ghi lại kèm người dùng đã khởi tạo, chuỗi phê duyệt và lệnh chính xác được thực thi
Phương thức xác thực
| Phương thức | Mô tả |
|---|---|
| Email & Mật khẩu | Xác thực tiêu chuẩn với yêu cầu mật khẩu bảo mật |
| Xác thực đa yếu tố | MFA dựa trên TOTP để tăng cường bảo mật |
| Single Sign-On (SSO) | Tích hợp SAML/OIDC với nhà cung cấp danh tính của bạn |
| Khóa API | Truy cập lập trình an toàn vào API |
Xác thực đa yếu tố (MFA)
Thêm một lớp bảo mật bổ sung với MFA dựa trên TOTP:Bật MFA
MFA khi đăng nhập
Khi MFA được bật:- Nhập email và mật khẩu của bạn
- Nhập mã 6 chữ số hiện tại từ ứng dụng xác thực
- Được cấp quyền truy cập
Tùy chọn khôi phục
Nếu bạn mất quyền truy cập vào ứng dụng xác thực:- Dùng mã dự phòng (dùng một lần)
- Liên hệ admin tổ chức để đặt lại MFA
- Liên hệ hỗ trợ với xác minh danh tính
Single sign-on (SSO)
Gói Enterprise hỗ trợ tích hợp SSO: SSO được cấu hình bởi Chủ sở hữu tổ chức trong Admin Settings → Identity and access. Các khả năng chính:- Xác minh domain — chứng minh quyền sở hữu domain email của bạn trước khi bật SSO
- SAML hoặc OIDC — chọn giao thức mà nhà cung cấp danh tính của bạn hỗ trợ
- Bắt buộc SSO — tùy chọn yêu cầu tất cả người dùng có domain đã xác minh phải xác thực qua SSO
- JIT provisioning — tự động tạo tài khoản người dùng khi đăng nhập SSO lần đầu
- Đồng bộ thư mục SCIM — tự động hóa cấp phép người dùng và nhóm từ IdP của bạn
Cấu hình SSO
Hướng dẫn thiết lập SSO
Thiết lập từng bước cho Google Workspace, Azure AD, AWS IAM Identity Center, Okta, OneLogin và SAML/OIDC chung
Bắt buộc SSO
Admin tổ chức có thể bắt buộc SSO:- Yêu cầu tất cả người dùng xác thực qua SSO
- Tắt đăng nhập bằng mật khẩu
- Tự động cấp phép người dùng khi đăng nhập SSO lần đầu
- Tự động hủy cấp phép khi bị xóa khỏi IdP
Kiểm soát truy cập dựa trên vai trò (RBAC)
Kiểm soát những gì người dùng có thể làm với quyền chi tiết:Vai trò tổ chức
| Vai trò | Mô tả | Quyền |
|---|---|---|
| Owner | Kiểm soát tổ chức đầy đủ | Tất cả quyền, thanh toán, quản lý thành viên |
| Admin | Quản trị tổ chức | Quản lý workspace, thành viên, cài đặt (không có thanh toán) |
| Member | Truy cập tiêu chuẩn | Truy cập workspace được giao, sử dụng agent |
| Viewer | Chỉ đọc | Xem bảng điều khiển và báo cáo |
Vai trò workspace
| Vai trò | Mô tả | Quyền |
|---|---|---|
| Workspace Admin | Kiểm soát workspace đầy đủ | Tất cả thao tác workspace, quản lý thành viên |
| Editor | Thao tác tiêu chuẩn | Chạy agent, tạo đề xuất, chỉnh sửa cài đặt |
| Operator | Thao tác giới hạn | Chạy agent, xem dữ liệu, không thể chỉnh sửa cài đặt |
| Viewer | Chỉ đọc | Xem bảng điều khiển, báo cáo và đề xuất |
Ma trận quyền
| Hành động | Owner | Admin | Editor | Operator | Viewer |
|---|---|---|---|---|---|
| Xem bảng điều khiển | Có | Có | Có | Có | Có |
| Chạy hội thoại agent | Có | Có | Có | Có | Không |
| Tạo đề xuất | Có | Có | Có | Không | Không |
| Phê duyệt thao tác | Có | Có | Có | Không | Không |
| Quản lý kết nối | Có | Có | Có | Không | Không |
| Quản lý thành viên | Có | Có | Không | Không | Không |
| Cài đặt tổ chức | Có | Có | Không | Không | Không |
| Thanh toán | Có | Không | Không | Không | Không |
Xác thực API
Truy cập lập trình an toàn vào CloudThinker:Khóa API
Tạo khóa API để tự động hóa:- Vào Profile > API Keys
- Nhấp Create API Key
- Đặt tên khóa và thời hạn hết hạn
- Sao chép khóa (chỉ hiển thị một lần)
- Dùng trong các yêu cầu API
Quản lý khóa
- Xoay vòng: Thường xuyên xoay vòng khóa (khuyến nghị: mỗi 90 ngày)
- Giới hạn phạm vi: Giới hạn khóa cho các thao tác cụ thể khi có thể
- Giám sát: Xem xét sử dụng khóa trong nhật ký kiểm tra
- Thu hồi: Ngay lập tức thu hồi các khóa bị xâm phạm
Token OAuth
Đối với các tích hợp dùng OAuth:- Token được tự động làm mới
- Thu hồi quyền truy cập từ Settings > Connected Apps
- Giám sát sử dụng token trong nhật ký kiểm tra
Bảo mật dữ liệu
Mã hóa
CloudThinker bảo vệ dữ liệu của bạn với:| Lớp | Bảo vệ |
|---|---|
| Truyền tải | TLS 1.3 cho tất cả kết nối |
| Lưu trữ | Mã hóa AES-256 |
| Secret | Lưu trữ thông tin xác thực mã hóa |
| Sao lưu | Sao lưu cơ sở dữ liệu được mã hóa |
Tự cung cấp khóa mã hóa (BYOK)
Khách hàng Enterprise có thể dùng khóa mã hóa của riêng họ:- Cấu hình AWS KMS hoặc tương tự
- Cung cấp ARN khóa cho CloudThinker
- Khóa của bạn mã hóa dữ liệu nhạy cảm
- Duy trì toàn quyền kiểm soát khóa
Cấu hình BYOK
Thiết lập mã hóa Bring Your Own Key
Lưu trú dữ liệu
- Chọn vùng dữ liệu khi tạo workspace
- Dữ liệu ở trong vùng đã chọn
- Tùy chọn đa vùng cho dự phòng
Ghi nhật ký kiểm tra
Theo dõi tất cả hoạt động trong CloudThinker:Sự kiện được ghi lại
- Xác thực người dùng (đăng nhập, đăng xuất, MFA)
- Truy cập và chỉnh sửa tài nguyên
- Hội thoại và hành động agent
- Thay đổi quản trị
- Truy cập API
Xem nhật ký kiểm tra
- Điều hướng đến Admin Settings > Organization
- Lọc theo:
- Người dùng
- Loại hành động
- Tài nguyên
- Khoảng thời gian
- Xuất nhật ký để tuân thủ
Lưu giữ nhật ký
- Tiêu chuẩn: 90 ngày
- Professional: 1 năm
- Enterprise: Có thể cấu hình (lên đến 7 năm)
Thực tiễn bảo mật tốt nhất
Bật MFA cho tất cả người dùng
Bật MFA cho tất cả người dùng
Yêu cầu MFA cho tất cả thành viên tổ chức, đặc biệt là những người có quyền admin. Cân nhắc bắt buộc qua chính sách SSO.
Dùng đặc quyền tối thiểu
Dùng đặc quyền tối thiểu
Giao vai trò tối thiểu cần thiết cho trách nhiệm của mỗi người dùng. Thường xuyên xem xét và điều chỉnh quyền.
Thường xuyên xoay vòng thông tin xác thực
Thường xuyên xoay vòng thông tin xác thực
Xoay vòng khóa API, token làm mới và thông tin xác thực cloud theo lịch đều đặn.
Giám sát nhật ký kiểm tra
Giám sát nhật ký kiểm tra
Thường xuyên xem xét nhật ký kiểm tra để phát hiện hoạt động đáng ngờ. Thiết lập cảnh báo cho các sự kiện quan trọng.
Bảo mật kết nối cloud
Bảo mật kết nối cloud
Dùng thông tin xác thực chỉ đọc khi có thể. Giới hạn phạm vi cho các dịch vụ và vùng cần thiết.
Định kỳ xem xét quyền truy cập
Định kỳ xem xét quyền truy cập
Thực hiện kiểm tra quyền truy cập hàng quý. Xóa người dùng không hoạt động và thu hồi quyền không cần thiết.
Tuân thủ
CloudThinker duy trì tuân thủ với:- SOC 2 Type II: Bảo mật, tính khả dụng và bảo mật thông tin
- GDPR: Bảo vệ dữ liệu cho người dùng EU
- HIPAA: Xử lý dữ liệu y tế (Enterprise)
- ISO 27001: Quản lý bảo mật thông tin
Yêu cầu tài liệu tuân thủ
Liên hệ chúng tôi để được hỗ trợ bảng câu hỏi bảo mật và tài liệu tuân thủ
Liên quan
Single sign-on
Cấu hình SSO SAML hoặc OIDC với Google Workspace, Azure AD, Okta và nhiều hơn nữa
Cấp phép SCIM
Tự động hóa đồng bộ người dùng và nhóm từ nhà cung cấp danh tính của bạn