Forem: Huy Dang

Thiết kế NGFW - Throughput: 40Gbps và WAF-WAF - Throughput: 80Gbps khi bật các tính năng nâng cao dưới On-prem

Huy Dang — Sat, 14 Feb 2026 06:18:59 +0000

1. Yêu cầu đầu bài

Vào những ngày cuối năm 2025 thay vì đi mua sắm, đi du xuân t lựa chọn viết bài blog này để cố gắng phân tích và đưa ra giải pháp cho một bài toán phức tạp khiến một team kỹ thuật gồm vài chục người đau đầu xử lý.
Yêu cầu kỹ thuật:
NGFW (Next gen firewall) khi bật các tính năng IPS, Application control and SSL/TLS Decryption phải đạt được Throughput: 40Gbps
WAF(Web Application Firewall) khi bật các tính năng full WAF mode, Bot Defense, API Security and SSL/TLS offload đặt được Throughput: 80Gbps
Yêu cầu sử dụng giải pháp ảo hóa (vFW, vWAF) để tối ưu chi phí và phù hợp với giải pháp Cloud xây dựng trên nền KVM và Openstack

2. Thách thức đặt ra
2.1. Thách thức về hiệu năng trong môi trường ảo hóa.
Trong môi trường vật lý, các thiết bị NGFW và WAF thường sử dụng các chip xử lý chuyên dụng như ASIC (Application-Specific Integrated Circuit) hoặc FPGA (Field-Programmable Gate Array) để xử lý gói tin ở tốc độ dây (wire-speed). Ngược lại, các giải pháp ảo hóa (vFW, vWAF) phải vận hành trên các bộ vi xử lý mục đích chung (General-purpose CPU) kiến trúc x86. Sự thiếu vắng của các chip tăng tốc phần cứng chuyên biệt khiến cho các tác vụ nặng như giải mã SSL/TLS, kiểm tra dấu hiệu xâm nhập (IPS) và phân tích hành vi bot trở nên cực kỳ tiêu tốn tài nguyên CPU.

Khi kích hoạt đầy đủ các tính năng như IPS, Application Control và đặc biệt là giải mã SSL/TLS, hiệu năng của các giải pháp ảo hóa thường bị sụt giảm từ 50% đến 80% so với thông lượng tường lửa thông thường. Điều này là do mỗi gói tin cần phải được giải mã, tái lắp ghép và đối chiếu với hàng ngàn chữ ký (signatures) trong bộ nhớ, một quá trình đòi hỏi chu kỳ CPU lớn và độ trễ truy xuất bộ nhớ thấp. *Để đạt được mức 40 Gbps cho NGFW và 80 Gbps cho WAF, kiến trúc không thể dựa vào một instance đơn lẻ mà phải chuyển sang mô hình xử lý song song (Parallel Processing) và mở rộng theo chiều ngang (Horizontal Scaling). *

2.2. Phân tích yêu cầu NGFW 40 Gbps với IPS và SSL Decryption
Yêu cầu 40 Gbps cho NGFW là một ngưỡng hiệu năng rất cao đối với các firewall ảo. Các thành phần tham gia vào quá trình xử lý bao gồm:

Intrusion Prevention System (IPS): Yêu cầu phân tích sâu gói tin (DPI) để phát hiện các mẫu tấn công phức tạp. Hiệu năng IPS thường tỷ lệ thuận với số lượng vCPU được cấp phát và khả năng tối ưu hóa tập lệnh xử lý chuỗi.

Application Control: Phân tích các đặc điểm của giao thức tầng ứng dụng để định danh phần mềm, ngay cả khi ứng dụng đó sử dụng các cổng không tiêu chuẩn.

SSL/TLS Decryption: Đây là "nút thắt cổ chai" lớn nhất. Việc thiết lập các phiên SSL mới (CPS - Connections Per Second) và duy trì thông lượng giải mã đòi hỏi khả năng tính toán số học cực mạnh để xử lý các thuật toán như RSA hoặc ECC.

2.3. Phân tích yêu cầu WAF 80 Gbps với Bot Defense và API Security
Mức thông lượng 80 Gbps cho WAF là một thách thức cực đại, vì WAF xử lý hoàn toàn ở tầng 7 (Application Layer). Các yêu cầu HTTP/HTTPS phải được phân tích ngữ nghĩa hoàn chỉnh.

Full WAF Mode: Bảo vệ chống lại các lỗ hổng OWASP Top 10, yêu cầu phân tích mọi thành phần của HTTP request bao gồm headers, cookies và body.

Bot Defense: Sử dụng các kỹ thuật như Device Fingerprinting, thử thách CAPTCHA hoặc phân tích hành vi dựa trên AI để phân biệt người dùng thật và các chương trình tự động.

API Security: Kiểm tra tính hợp lệ của các cấu trúc JSON/XML, thực thi schema validation và ngăn chặn các cuộc tấn công nhắm vào điểm cuối API.

SSL/TLS Offload: WAF thường đóng vai trò là điểm kết thúc SSL (SSL Termination) để kiểm tra dữ liệu trước khi chuyển tiếp đến máy chủ web. Việc xử lý 80 Gbps lưu lượng giải mã đòi hỏi một kiến trúc phân tán quy mô lớn.

3. Giải pháp khắc phục cho Firewall
3.1. Giải pháp Palo Alto Networks VM-Series

Link tham chiếu: https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-performance-capacity/vm-series-performance-capacity

Dữ liệu cho thấy ngay cả model cao cấp nhất là VM-700 cũng chỉ đạt xấp xỉ 10 Gbps cho tính năng Threat Prevention trên mỗi instance. Để đạt mục tiêu 40 Gbps, hệ thống cần tối thiểu 5-6 instance VM-700 chạy song song.

3.2. Giải pháp Fortinet FortiGate-VM

Link tham chiếu: https://www.avfirewalls.com/fortigate-vm-series.asp

FortiGate-VM thể hiện hiệu năng vượt trội trên mỗi đơn vị vCPU. Đặc biệt, model VM-32 có thể đạt tới 16.5 Gbps NGFW. Với model VM-ULS (Unlimited), Fortinet cho phép tận dụng tối đa sức mạnh phần cứng của máy chủ vật lý. Để đạt được 40 Gbps NGFW, việc triển khai 3 instance VM-32 hoặc sử dụng các instance AWS dòng C6in/C7g với số lượng vCPU lớn là hoàn toàn khả thi.

3.3. Giải pháp Check Point CloudGuard Network Security

Link tham chiếu: https://www.checkpoint.com/downloads/products/cloudguard-gateway-performance-for-vmware-esxi-datasheet.pdf

Mặc dù thông lượng Firewall và IPS của Check Point khá ấn tượng (đạt 12.3 Gbps với 8 vCPU), nhưng hiệu năng giải mã SSL (SSL NGFW) sụt giảm rất mạnh, chỉ còn 2.6 Gbps. Điều này có nghĩa là nếu yêu cầu 40 Gbps bao gồm cả giải mã SSL toàn phần, kiến trúc Check Point sẽ cần một số lượng rất lớn các gateway (khoảng 15-20 instance 8 vCPU) để đáp ứng tải, dẫn đến sự phức tạp trong quản lý và chi phí bản quyền tăng cao.

3.4. Đánh giá khả năng đáp ứng yêu cầu 40 Gbps NGFW
Để đáp ứng yêu cầu 40 Gbps với đầy đủ tính năng IPS, Application Control và SSL Decryption, phân tích chỉ ra rằng không có một instance ảo hóa đơn lẻ nào của bất kỳ nhà cung cấp nào có thể đáp ứng được tại thời điểm hiện tại. Do đó, giải pháp bắt buộc phải sử dụng kiến trúc phân tán.

Hiệu quả vCPU: Fortinet dẫn đầu về thông lượng trên mỗi vCPU nhờ công nghệ vSPU, giúp tiết kiệm chi phí hạ tầng nhất cho mục tiêu 40 Gbps.

Độ sâu bảo mật: Palo Alto Networks cung cấp khả năng phát hiện mối đe dọa chính xác nhất thông qua App-ID, giảm thiểu rủi ro sai sót trong quá trình kiểm soát ứng dụng.

Hỗ trợ tăng tốc phần cứng: Sự hỗ trợ cho SR-IOV và DPDK là bắt buộc để đạt được mức 40 Gbps. Palo Alto và Fortinet đều có sự tối ưu hóa sâu với các driver mạng hiệu năng cao.

4. Giải pháp khắc phục cho WAF
4.1. Giải pháp F5 BIG-IP Advanced WAF (Virtual Edition)

Link tham chiếu: https://cdn.studio.f5.com/files/k6fem79d/production/01eb18e19a56cc2863b4d6a3fa8de9e6a5b7c8f3.pdf
Bản quyền High Performance của F5 cho phép tận dụng tới 24 lõi xử lý TMM, giúp một instance đơn lẻ có thể đạt được thông lượng WAF rất cao. Để đạt mục tiêu 80 Gbps WAF, một cụm 2-4 instance F5 BIG-IP VE chạy song song là phương án khả thi và ổn định nhất.

4.2. Giải pháp NetScaler VPX (Citrix ADC)

Link tham chiếu: https://docs.netscaler.com/en-us/vpx/current-release/deploy-vpx-faq.html

NetScaler có hiệu năng WAF rất tốt, nhưng nút thắt cổ chai nằm ở SSL/TLS offload. Vì VPX thực hiện giải mã hoàn toàn bằng phần mềm (Software-based SSL), nó chỉ đạt được tối đa 30 Gbps lưu lượng giải mã trên một instance. Để đạt 80 Gbps WAF kèm SSL offload, hệ thống cần ít nhất 3-4 instance VPX 100G

5. So sánh với giải pháp AWS
5.1. NGFW Bên thứ ba so với AWS Network Firewall

Link tham chiếu: https://docs.aws.amazon.com/network-firewall/latest/developerguide/quotas.html

AWS Network Firewall vượt trội về khả năng đạt ngưỡng 40 Gbps hoặc thậm chí 100 Gbps mà không cần người dùng phải thiết kế cụm HA phức tạp. Tuy nhiên, đối với các doanh nghiệp yêu cầu bảo mật mức độ cao (High Assurance) với các chữ ký IPS độc quyền và khả năng kiểm soát ứng dụng chi tiết, các giải pháp từ Palo Alto hay Fortinet vẫn là lựa chọn ưu tiên dù việc triển khai khó khăn hơn.

5.2. WAF Bên thứ ba so với AWS WAF

Link tham chiếu: https://aws.amazon.com/waf/pricing/

AWS WAF hiệu quả về mặt thông lượng (dễ dàng đáp ứng 80 Gbps lưu lượng web) và chi phí cho các ứng dụng có lưu lượng trung bình. Tuy nhiên, đối với yêu cầu "Full WAF mode, Bot Defense và API Security" ở mức chuyên sâu, AWS WAF thường không thể sánh được với khả năng phân tích ngữ nghĩa và AI của F5 hay Imperva. Đặc biệt, tính năng chống Bot của AWS WAF chủ yếu dựa trên việc viết rule thủ công hoặc sử dụng Managed Rules cơ bản, trong khi F5 hay Radware cung cấp các engine tự học có khả năng thích ứng với các bot hiện đại luôn thay đổi hành vi.

6. Kết luận
6.1. Thiết kế cho NGFW 40 Gbps - ví dụ cho aws và onprem tương tự
Sử dụng Fortinet FortiGate-VM (ULS) hoặc Palo Alto VM-700 triển khai đằng sau AWS Gateway Load Balancer.

Instance Type: Lựa chọn các dòng instance AWS C6in hoặc C7g (Graviton) với băng thông mạng lên tới 100 Gbps.

Cấu hình: Triển khai tối thiểu 4-6 instance (mỗi instance 16 hoặc 32 vCPU) để chia sẻ tải. Việc sử dụng nhiều instance nhỏ sẽ mang lại khả năng dự phòng tốt hơn là sử dụng một vài instance cực lớn.

Tối ưu hóa: Kích hoạt SR-IOV và ENA (Enhanced Networking Adapter) trên AWS để đảm bảo giao tiếp giữa GWLB và Firewall đạt hiệu năng tối đa.

Link tham chiếu: https://docs.fortinet.com/document/fortigate-public-cloud/7.6.0/aws-administration-guide/379696/deploying-autoscaling-on-aws

6.2. Thiết kế cho WAF 80 Gbps - ví dụ cho aws và onprem tương tự
Sử dụng F5 BIG-IP VE (High Performance) trong mô hình Auto Scaling.

Lớp cân bằng tải: Sử dụng AWS Network Load Balancer (NLB) ở phía trước để tiếp nhận 80 Gbps lưu lượng. NLB có khả năng xử lý hàng triệu phiên mà không bị nghẽn.

Lớp WAF: Triển khai một cụm F5 BIG-IP VE. Để đạt 80 Gbps WAF với Bot Defense và API Security, kiến trúc cần khoảng 4-8 instance F5 (mỗi instance sử dụng bản quyền HP với 24 TMM cores).

SSL Offload: Để giảm tải cho CPU của máy ảo WAF, có thể thực hiện SSL termination tại lớp NLB hoặc sử dụng các instance EC2 có hỗ trợ tăng tốc mã hóa mạnh mẽ để các máy ảo F5 có thể giải mã bằng phần mềm hiệu quả hơn.

Link tham chiếu: https://community.f5.com/kb/technicalarticles/getting-the-most-out-of-amazon-ec2-autoscale-groups-with-f5-big-ip/288760

Instructions for deploying the NIST SP 800-53 Framework on the AWS platform.

Huy Dang — Thu, 18 Dec 2025 08:49:42 +0000

1. Introduction

Context: The shift of financial institutions' infrastructure to the cloud and the stringent security requirements.

What is NIST? A brief introduction to NIST (especially NIST CSF and NIST SP 800-53) - the gold standard for information security.

Why choose AWS? AWS is the cloud provider offering the most comprehensive ecosystem of compliance-supported services.

2. Shared Responsibility Model & NIST

Explain that AWS is responsible for the security of the "of" the cloud (physical infrastructure, data centers), while the customer is responsible for the security "within" the cloud (configuration, data, identities).

Emphasize: Using AWS does not automatically guarantee NIST compliance; businesses need to configure it correctly.

3. Key pillars when deploying NIST on AWS

The organization should be divided according to the most important NIST Controls:

A. Identity and Access Management
NIST Control: AC (Access Control), IA (Identification and Authentication).

AWS Solution:

Use AWS IAM with the "Least Privilege" principle.
Require MFA for all accounts.
Use AWS IAM Identity Center (SSO) for centralized management.

B. Data Protection
NIST Control: SC (System and Communications Protection), MP (Media Protection).

AWS Solutions:
At-rest and in-transit data encryption.
Utilizing AWS KMS or AWS CloudHSM (suitable for BFSI customers requiring physical key management).
Managing SSL/TLS certificates via AWS Certificate Manager (ACM).

C. Audit & Accountability
NIST Control: AU (Audit and Accountability).

AWS Solutions:
AWS CloudTrail: Records all API activity for verification purposes.
Amazon CloudWatch: Monitors performance and provides log alerts.
AWS Config: Tracks the history of resource configuration changes (This is the most important service for demonstrating NIST compliance).

D. Network Security
NIST Control: SC (System and Communications Protection).

AWS Solution:
Multi-layer VPC design (Public/Private Subnet).
Using AWS WAF to protect against Layer 7 web attacks.
AWS Shield for DDoS protection.
Network Firewall to control traffic flow to and from the system.

4. Compliance as Code

AWS Artifact: A portal for downloading AWS compliance reports (SOC, PCI-DSS, NIST).
AWS Audit Manager: Automatically gathers evidence for verification against the NIST SP 800-53 framework.
AWS Security Hub: Provides a comprehensive overview of security and compliance scoring based on best practices.

5. Best Practices

Current situation assessment: Compare the current infrastructure with the NIST checklist.

Landing Zone Design: Use AWS Control Tower to set up a standard multi-account environment from the start.
Blueprint Implementation: Use readily available templates (AWS Quick Starts for NIST) for rapid deployment.
Continuous Monitoring: This isn't a one-time task; continuous monitoring via Security Hub and Config is necessary.

AWS for Newbies: 4 First Account Setup Steps You Need to Know

Huy Dang — Mon, 14 Jul 2025 03:27:26 +0000

1.Enable Multi-Factor Authentication (MFA)

Video Enable MFA

Even with MFA, you should still use a strong password
If you set it up for a company, you should Do not use the root account for daily work
Do not create Access Keys for the root account
Create IAM (Identity and Access Management) users

2.Redeem AWS Credit
Watch video: Video Redeem AWS Credit

3.Configure Billing & Cost Management

Enable Billing Alerts: Use AWS Budgets or CloudWatch Billing Alarms to set up alerts when estimated costs exceed a threshold you set.

Watch video tutorial: Video setup Billing & Cost Management

Review payment information: Make sure your payment information (credit card, address) is correct.

You can add, edit information, and delete credit cards according to the following video instructions:

Check Cost Explorer options: Get familiar with the Cost Explorer tool to analyze your spending by service, by tag, etc.

4.Set up Monitoring & Logging:

Enable AWS CloudTrail: CloudTrail records most API calls and events that occur in your AWS account. Make sure CloudTrail is enabled (usually by default) and configured to log to an S3 bucket. This is important for security auditing and troubleshooting.
Enable AWS Config: AWS Config helps monitor configuration changes to your AWS resources and evaluate whether they comply with the rules you set.

Professional Cloud Security Engineer Certification exam preparation 2025

Huy Dang — Sun, 09 Mar 2025 04:36:58 +0000

I.Prepare
I passed this certificate for the first time in 2022.
I renewed my certificate and retook the exam at the center in February 2025.

https://www.credly.com/users/huydanggdg

The knowledge about services on GCP that I have reviewed includes:
Compute Engine

Google APIs

IAM (Identity and Access Management)

VPC network

Firewall Rules

Cloud Directory Sync

SAML 2.0 Single Sign-On (SSO)

Cloud Identity and Access Management API

Admin SDK

Cloud Armor

Cloud CDN

Cloud Identity-Aware Proxy

Cloud VPN

Shared VPC

Cloud Interconnect

Private Access

Aggregated Sinks

Cloud Identity

DLP API (Data Loss Prevention API)

Cloud KMS (Cloud Key Management Service)

Stackdriver (now Google Cloud’s operations suite Cloud Logging)

BigQuery

Cloud Pub/Sub

Dataflow

App Engine

Cloud Functions

Cloud Storage

Google Kubernetes Engine (GKE)

Cloud Bigtable

Cloud Datastore

Secret Manager

Cloud Security Scanner

Resource Manager

Forseti Security

Security Command Center

TCP Proxy Load Balancing

Network Load Balancer

HTTP(S) load balancer

Cloud HSM (Cloud Hardware Security Module)

Compute Engine Persistent Disk

Cloud Key Management Service (KMS)

Cloud NAT

Cloud DNS

Cloud Source Repositories

Cloud SQL

Cloud Endpoints

Cloud BigQuery

Google Cloud Directory Sync (GCDS)

Identity Platform

BeyondCorp Enterprise

Shielded VMs

Cloud External Key Manager (EKM)

Certificate Authority Service

Packet Mirroring

OS Config

Cloud Build

Cloud Run

Vertex AI

Cloud IDS

Assured Workloads

Key Access Justifications

Access Context Manager

Confidential VMs

Compliance Reports Manager

Private Service Connect

Service Health Analytics

Certificate Manager

Cloud Next Generation Firewall (NGFW) Enterprise

Cloud Logging

Container Registry

Security Command Center (SCC)

Organization Policy Service

VPC Service Control (SC)

Access Approval

Cloud HSM

Virtual Machine Threat Detection

Google Cloud Marketplace

Resource Location Restriction

Sensitive Data Protection

Compliance Monitoring

IAM Conditions

Workload Identity Pools

Cloud Certificate Authority Service

=====================================================

II.The main points after I passed the exam the second time were summarized

1.Managing Access and Identities: granting appropriate access to different users, groups, and service accounts for various GCP resources following the principle of least privilege. This includes understanding and applying predefined and custom IAM roles at different levels like projects, folders, and organizations. Scenarios around centralized identity management using Cloud Identity and integration with external identity providers are also frequent, as well as managing access for users from other organizations. Expect questions on using temporary access with IAM Conditions.

2.Protecting Data and Ensuring Compliance: Many questions focus on securing sensitive data (like PII, financial, and health data) at rest, in transit, and in use. This involves understanding and applying encryption techniques using various key management options (customer-managed, customer-supplied, and Google-managed keys), leveraging Data Loss Prevention (DLP) API for tasks like redaction, anonymization, and tokenization. You’ll also likely encounter scenarios requiring you to ensure data residency to meet compliance standards like GDPR and PCI DSS, and the importance of auditing key usage.

3.Securing Networks: Expect several questions about controlling network traffic using VPC Firewall Rules to restrict inbound and outbound connections, often based on network tags. Protecting web applications using Cloud Armor against common web attacks and controlling access to web applications and VMs with Cloud IAP are also key areas. You should also be familiar with providing private access to Google services for VMs without public IPs using Private Google Access and Cloud NAT, as well as securing hybrid connections between on-premises and GCP using Cloud VPN and Cloud Interconnect.

4.Logging and Monitoring for Security: You will likely be asked about the need to collect and analyze logs from various GCP resources to gain security visibility. This includes knowing how to use Cloud Logging and Cloud Audit Logs (Admin Activity and Data Access logs) and how to export these logs to external SIEM systems.

5.Managing Secrets: Securely handling sensitive information like API keys and passwords using Secret Manager is a recurring theme. Questions may involve controlling access to secrets and auditing their usage.

6.Incident Response and Auditing: You might see questions that touch upon auditing activities, such as identifying who performed specific actions or investigating potential security incidents. Understanding how to define access strategies for incident response with the principle of least privilege and time-bound access may also be relevant.

7.Securing Workloads: Expect questions on securing different types of workloads running on GCP, such as Compute Engine VMs (using features like Shielded VMs and Confidential VMs), Google Kubernetes Engine (GKE), App Engine, Cloud Functions, and Cloud Run. This includes securing container deployments using Binary Authorization and managing service account permissions for these workloads.

8.Securing Hybrid Environments: Scenarios involving secure connectivity and access management in hybrid cloud setups, where on-premises infrastructure connects to GCP, are common. This includes using Cloud VPN, Cloud Interconnect, and Private Google Access for on-premises hosts.

9.Understanding the capabilities of Security Command Center (SCC) for a unified view of security and compliance findings, including its features like Security Health Analytics and Virtual Machine Threat Detection, is also important. Expect questions on using VPC Flow Logs for network traffic analysis and Packet Mirroring for more in-depth network inspection.

10.Understanding how to use VPC Service Controls (VPC SC) to create security boundaries and prevent data exfiltration is also crucial.

III.Summary of mock exams at Udemy

https://www.udemy.com/course/professional-cloud-security-engineer-exam-2025/?couponCode=NVDPROD25

Main content Google guides:

https://services.google.com/fh/files/misc/professional_cloud_security_engineer_exam_guide_english.pdf

Thanks for reading everyone.!!!!!!!!

Review of Cisco Small and Medium Business Sales certification exam (700–250)

Huy Dang — Fri, 28 Feb 2025 17:42:57 +0000

The article describes the exam format and content.

I. General information
Exam Name: Cisco Small and Medium Business Sales (SMBS)
Exam Number: 700–250 SMBS
Duration: 90 minutes
Number of Questions: 30–40
Exam Price: $80 USD
Exam registration link: https://cp.certmetrics.com/cisco/en/login

II. Overview of the exam
See link for details: https://www.cisco.com/c/dam/en_us/training-events/exams/smbs.pdf

Knowledge distribution ratio:

10% Partnership Opportunities with Cisco

10% Enabling People, Enhancing Workspaces

10% Exploring SMB Experiences

10% Navigating Hybrid Workforce Experiences

10% Adapting to Remote Workforce Experiences

10% Securing the Modern Workplace

10% Implementing SMART IT

10% Enhancing Application Performance

10% Mastering Cisco’s Go-to-Market Strategies

10% Exploring MSP and Services Opportunities

III. Important knowledge appears on the exam
1.Cisco help SMBs to be truly smart => secure connectivity

2.Meraki product is used in Remote SMB work from home => Z4 teleworker gateway

customers classified who have spent at least $1 in each of the four quarters over the last 12 months => Repeat Buyer

3.Cisco product features integrated Mobile Device Management => Meraki
4.Device connects remote SMB workers with power collaboration solutions and award-winning device => WebEx
5.Cisco product is part of the smart experience for empowering IT => Meraki Insight
6.Which Cisco solutions helps a keep a healthcare patient’s information secure? => Duo
7.Which Cisco solution provides end-to-end visibility from every user to any application? => ThousandEyes
8.Which visibility product empowers IT by providing insight into application performance? => ThousandEyes
9.Which marketing asset educates partners about Cisco’s overarching SMB strategy? => SMB Partner Campaign Kit

10.Cisco product protects against the loss of sensitive data? => Umbrella

11.Where do SMB partners find free-to-use customizable campaigns and assets? => Cisco Marketing Velocity Central
12.What is a functional requirement for a secure SMB? => zero trust **identity-based access to applications with multifactor authentication
13.Which challenge do customers face with hybrid work? => **non-inclusive experiences

14.Which feature was designed for Cisco partners to co-brand and embed on their websites? => SMB Experience Explorer

15.Which Cisco product is part of the Secure SMB experience for enhancing workspaces? => Meraki Cameras

16.Which Cisco product secures the perimeterless, work-from-anywhere world with Zero Trust? => Duo

17.Securing the DNS layer means blocking malicious domains, IP addresses, and cloud applications before establishing a connection. Which Cisco solution helps secure DNS? => Umbrella

IV. Practice test
Detailed instructions and explanations based on Cisco documentation:

https://www.udemy.com/course/700-250-cisco-small-and-medium-business-sales-exam-2025/?srsltid=AfmBOoqFcABRzhhzNChHqV-SnwDdYgeIgUSIsWBE2wRd_j0CjA4f783i&couponCode=2021PM25

Link Cisco documentation: https://drive.google.com/drive/folders/1GcEgXZyRhm1buatBCatblh66hsb5RW1Z?usp=drive_link

Thank you for reading this article.!!!!!!!

Hybrid and Multi-Cloud in BFSI (Part 1)

Huy Dang — Fri, 11 Oct 2024 03:30:40 +0000

Tuyên bố trách nhiệm

Nghiên cứu dưới đây là của cá nhân dựa trên các kiến thức thu thập được các nguồn trên internet (Gartner, medium, Linkedin,...)
Một số thông tin có thể thiếu chính xác hoặc mang ý kiến cá nhân, rất mong mọi người trao đổi để tác giả có thể sửa đổi và hoàn thiện ở các phiên bản sau.

Xu hướng sử dụng Cloud đang ngày càng phổ biến trên thế giới và Việt Nam cũng đang đần bắt kịp với trào lưu này. Theo thống kê dựa trên 35 ngân hàng tại Việt Nam thì có khoảng hơn 70% đã sử dụng ít nhất 01 nhà cung cấp Public Cloud.

Phạm vi của nghiên cứu này sẽ tập trung vào 03 nhà cung cấp chính là Google Cloud, AWS và Azure. Dịch vụ tập trung là IaaS và PaaS, các dịch vụ SaaS (Email,CRM,AI,..) sẽ không thuộc phạm vi nghiên cứu này.

Các vấn đề cần phải giải quyết khi triển khai mô hình Hybrid, Multi-Cloud gồm các thành phần sau:

Xây dựng Landingzone
Tổ chức nhân sự
Triển khai, phân chia workload
Chi phi đường truyền dữ liệu
Mô hình tích hợp
Bảo mật
Quản trị vận hành

Trong phần 1 này mình sẽ đi vào giải quyết vấn đề thứ 1:

Landing zone

Mô hình trên được tham khảo từ tài liệu của Gartner gồm 2 thành phần chính Hub và Spoke

Hub: bao gồm các thành phần sử dụng chung và chia sẻ tài nguyên với nhau như: Network, Audit log, Xác thực tập trung (AD, Ldap,...), Trung tâm bảo mật,...
Spoke: bao gồm các thành phần Landing zone của các nhà cung cấp khác như Google Cloud, AWS, Azure, OCI, Alibaba,....

Tại sao lại sử dụng mô hình Hub and Spoke trên:

Mỗi nhà cung cấp Cloud sẽ có cách, công cụ, phương thức khác nhau để xâu dựng Landing zone của riêng mình. Đặt trong bài toán sử dụng nhiều nhà cung cấp kết hợp với cơ sở hạ tầng của doanh nghiệp thì việc xây dựng Landing zone của 1 nhà cung cấp (Google Cloud hay AWS) thì rất khó để có thể kết nối và áp đặt các nguyên tắc lên các nhà cung cấp khác.
Việc xây dựng các Hub để làm nền móng kết nối tới các nhà cung cấp khác sẽ thuận tiện trong việc quản lý và mở rộng khi có thêm nhà cung cấp mới. Ví dụ: Xây dựng SD-WAN tới các nhà cung cấp, tích hợp với hệ thộng AD hoặc Ldap hiện có của công ty, hay xây dựng hệ thống SIEM, các giải pháp quản lý bảo mật tập trung để tích hợp cả public Cloud lẫn các hệ thống đang hiện có của doanh nghiệp.

Doanh nghiệp nào sẽ sử dụng mô hình trên:

Doanh nghiệp quy mô lớn, hệ thống hiện tại dưới on-prem nhiều, cần mở rộng hoặc tiếp cận với công nghệ mới trên các nền tảng Cloud như xử lý data, AI
Để vận hành mô hình trên cần khôi lượng nhân lực đông vì phải kiểm soát nhiều nhà cung cấp Cloud, nhiều công nghệ. Chi phí để vận hành lớn và nếu không kiểm soát tốt chi phí đó còn có thể tăng lên nhiều lần.
Các doanh nghiệp cần tuân thủ chặt chẽ các chính sách của nghành của quốc gia. Ví dụ như bảo mật dữ liệu cá nhân, vị trí lưu trữ, sao lưu dữ liệu,.....

Các bước để triển khai mô hình trên:
Bước 1: Xác định Cấu trúc Quản trị Tổ chức cho Chiến lược Phân vùng

Bước 2: Thiết kế và triển khai Hub(s)

Core Networking/Transit Partition
Identity Hub Partition
Security and/or Audit Hub Partition
Management Services Partition

Bước 3: Thiết kế Spokes và tự động hóa
Các công nghệ cần quan tâm
Purpose:
Provider default (external configuration elements only, no internal configurations)
General production
Sandbox (with connectivity restricted to on-premises assets, the public internet or both)
General development (and, optionally, test and QA)
Demo
Lab
Quarantine (extreme isolation, such as for testing for potential malware infections)
Technology stacks:
LAMP stack (Linux, Apache, MySQL, and PHP, Perl or Python)
MEAN stack (MongoDB, Express.js, AngularJS, and Node.js)
Ruby on Rails
Kubernetes environment
Commercial aPaaS environment (AWS CloudFormation, Red Hat OpenShift)
ASP.NET/IIS/SQL Server stack
Hadoop Cluster

Dự án cuối cùng - Final Project

Huy Dang — Mon, 16 Sep 2024 03:24:17 +0000

1.Ý tưởng

Muốn tạo ra một website tĩnh chứa các thông tin của đám cưới bản thân để có thể dễ dàng chia sẻ với bạn bè và người thân thay vì phải sử dụng thiệp cưới giấy truyền thống.
Dự án cuối cùng trước khi chào tạm biệt sự độc thân.
Sử dụng các kiến thức đã học và theo suốt quá trình làm việc như: html, css để xây dựng website tĩnh, Google Cloud -> cụ thể trong lần này sẽ là Google Cloud storage để lưu trữ nhằm tiết kiệm chi phí nhất. Ngoài ra có sử dụng Cloudflare để thiết lập Https và Github để lưu và chia sẻ code. Các công nghệ trên đa số khá quen thuộc với những người làm trong nghành IT ngay từ những bước đầu.

2.Kiến trúc tổng quan và có thể mở rộng nếu tương lai muốn làm gì thêm

==============================================

Source code gốc mình lấy trên internet:
https://htmlcodex.com/free-wedding-website-template/

Video mình đã xem và cấu hình thành công: https://youtu.be/cwlinqDqFng

Source code đã chỉnh sửa: https://github.com/huydanggdg/huyoanhwedding.com

3.Thiết lập Google domain trên Googler search console
Để có thể đặt tên www.huyoanhwedding.com cho bucket trên Google Cloud bạn cần thực hiện cấu hình sau trên https://search.google.com/search-console:

4.Thiết lập Google cloud storage

Mở public cho Google cloud storage

Nếu bạn không quá chú trọng vào tốc độ tải thì hoàn toàn có thể chọn các region sau thay vì chọn Singapore như mình:

5.Thiết lập Cloudflare
Các bạn có thể xem các cấu hình mình đã làm dưới đây:

6.Kết quả
Website: https://www.huyoanhwedding.com/
Chi phí mua tên miền 6$/ năm
Chi phí Google Cloud cho GCS: 10.000 VND/ tháng

Sử dụng google analytics để theo dõi số lượt truy cập:

Sử dụng các phần mềm chỉnh sửa video như capcut, tiktok để tạo nên các video thú vị:
https://youtu.be/CSBE8f_DFuE

Ngoài ra có 1 cách dễ hơn là sử dụng github pages cũng có thể tạo được nhé: https://huydanggdg.github.io/huyoanhwedding.com/
Một mẫu demo khác mọi người có thể tham khảo (nguồn mình lấy của 1 anh trên J2team): https://huydanggdg.github.io/huydanggdg-huyoanhwedding.com2/

Mọi thắc mắc và câu hỏi có thể liên hệ mình qua: https://www.linkedin.com/in/huydanggdg/

Nên lựa chọn thi Offline hay Online đối với các chứng chỉ cloud quốc tế

Huy Dang — Fri, 16 Aug 2024 02:21:42 +0000

Thi Offine
Đối tượng: Phù hợp với người lần đầu thi, nhà ồn có trẻ nhỏ, không có phòng riêng,..
Ưu điểm: Thoải mái mang người đến và thi, các vấn đề máy móc, thủ tục đã được trung tâm xử lý
Nhược điểm: mất thời gian di chuyển, nắng nóng, tắc đường và chỉ thi vào được giờ hành chính.
Chú ý: nên mang ít nhất 2 loại giấy tờ là chứng minh thư và bằng lái xe, nên đến sớm 1 tiếng cho chắc bài yên tâm.
Trung tâm thi: Cá nhân mình thi ở 2 địa điểm là Trainocate Vietnam và Qnet 1.1. Trainocate Vietnam
- Địa chỉ: 36 P. Hoàng Cầu, Chợ Dừa, Đống Đa, Hà Nội
- Ưu điểm: Văn phòng mới, có phòng nhỏ 1 mình 1 máy đóng cửa yên tĩnh. Anh chị hỗ trợ nhiệt tình, nước, trà, giấy nháp Được phép thi trước so với giờ đã đăng ký (không quá 30p)
- Nhược điểm: Lên tòa nhà phải để lại chứng minh thư để lấy thẻ ra vào => mình có chứng minh thư cũ nên để lại vì sợ thi AWS phải có 2 giấy tờ để chứng minh. 1.2. Qnet
- Địa chỉ: VTC Online Building, 18 Đ. Tam Trinh, Mai Động, Hoàng Mai, Hà Nội
- Ưu điểm: Văn phòng ổn, thỉnh thoảng có lớp học bên cạnh nhưng không quá ồn. Anh chị hỗ trợ nhiệt tình, nước, trà, giấy nháp Được phép thi trước so với giờ đã đăng ký (không quá 30p)
- Nhược điểm: Chỗ để xe tuy rộng nhưng khá nhiều xe và có thể hết chỗ => Đến sớm hoặc gửi xe bên đường giá bằng nhau.
Thi Online
Đối tượng: Phù hợp đã có kinh nghiệm, nhà có phòng riêng, máy móc, mạng mẽo ổn.
Ưu điểm: Thoải mái giờ giấc, trước 2 năm dịch mình thi kiểu này đặt toàn nửa đêm thi, yên tĩnh, chủ động được thời gian.
Nhược điểm: Công tác chuẩn bị khá nhiều
- Nên chuẩn bị bàn trống không để bất cứ vật dụng gì ngoài máy tính
- Đường mạng chuẩn bị hẳn mạng dây cho tốc độ tối ưu
- Nên sắm thêm webcam rời để chất lượng hình ảnh tốt nhất và thuận tiện cho việc cầm quay xung quanh phòng, dưới gầm bàn (đợt chưa có cầm cái lap quanh phòng khổ vãi)
- Nên có thêm 1 cái Gương phản chiếu nếu không có webcam rời để giám sát kiểm tra bàn phím
- Nên có phòng riêng đóng cửa và nhắn mọi người trong nhà đang thi, chứ đang thi có người vào thì toang
- Nên đặt giờ thi lúc tối vì lúc đó cả nhà đi ngủ và yên tĩnh, không trùng với việc ở công ty.
Các case study có thể gặp phải
Xin thêm 30p khi thi chứng chỉ AWS do tiếng anh không phải ngôn ngữ chính.
Đang thi thì đứt mạng thì không nên quá lo lắng vì hệ thống vẫn lưu lại phiên thi nên chỉ đăng nhập lại là thi được tiếp. Lần đầu nên hơi hốt nhưng sau cũng ổn.
Nên chọn chung tâm gần nhà hoặc công ty để tối ưu quãng đường di chuyển để sức mà đi thi.

Nếu một ngày Service account và API key trên Google Cloud không cánh mà bay ?

Huy Dang — Fri, 07 Jun 2024 18:35:52 +0000

1. Nguyên nhân ra đời bài viết
Dạo quanh một số nhóm chat IT mình có bắt gắp 1 case study trong 1 team có share service account và api key để tiện cho việc xây dựng ứng dụng. Không may có 1 bạn intern vô tình đẩy bộ code đó lên trên Github và để ở chế dộ public. Hacker dò được và truy cập trái phép vào tài khoản Google Cloud để tạo ra hàng loạt máy chủ với card GPU để đào coin.

Ae trong nhóm nội bộ trao đổi sôi nổi ôn lại kỉ niệm xưa vì case study này bản thân nhóm đã mắc lỗi tương tự cách đây 4 năm về trước. Bài viết ra đời nhằm ôn lại kiến thức cũng như chia sẻ một góc nhìn cho mọi người. Hy vọng bài viết nhận được các góp ý để nhóm tác giả hoàn thiện.

2. Bối cảnh lịch sử
Quay lại khoảng thời gian vào 4 năm về trước, vào những tháng cuối năm 2020, Team vận hành Cloud của công ty gồm 4 người chia làm 2 nhóm, tất cả đang trong giải đoạn nghiên cứu và học tập Cloud (2 người trong Nam và 2 người ngoài Bắc) có nhiệm vụ triển khai một số ứng dụng mới trên nền tảng Google Cloud, Ứng dụng cần sử dụng triển khai CI/CD và gọi một số API của Google. Theo sách giáo khoa thì Github và service account là nhưng lựa chọn lý tưởng và câu chuyện bắt đầu từ đây

3. Diễn biến sự kiện

Vào 1 buổi chiều đông, mình đặt phòng họp 3 tiếng để chuẩn bị thi chứng chỉ, mọi thứ diễn ra theo đúng kế hoạch và mình tạch, ra thì cu em intern với ánh mắt trìu mến hỏi thăm

Intern: anh có thì đỗ không
Ông anh thi trượt: với vẻ mặt như bị crush từ chối, trượt rồi
Intern: anh có muốn nghe thêm 1 tin buồn nữa không anh mặc dù em biết anh đang buồn
Ông anh thi trượt: Còn gì buồn hơn thì m nói nốt ra đi xem nào
Intern: Hệ thống bị hack anh ạ
Ông anh thi trượt: Đù, hack lúc nào sao giờ mới báo
Intern: Hack lúc anh đang thi nên không tiện báo =))

=> Ok họp team gấp

Trong cuộc họp, rất may trong lúc mình vắng đi thi thì có ông anh trong miền Nam đã nhận được cảnh báo của hệ thống qua email nên đã kịp thời vào khắc phục. Nguyên nhân cũng phát sinh từ việc ông em intern đã đẩy cả bộ code chứa key đã được cấp kèm theo cả service account lên trên Github để test. Dự án này thuộc dự án nghiên cứu nội bộ và môi trường độc lập với môi trường prod

4.Phương án khắc phục
Sau khi nhận cảnh báo thì người anh vào check tận gần 200 vm có GPU nên đã quyết định ngắt billing để giảm thiểu thiệt hại nhanh nhất. Đây là môi trường test nên việc ngắt billing là chuyện nên làm. Tuy nhiên nếu là môi trường prod sẽ rất phiền nên việc phân quyền và tách nhiều môi trường là cực kỳ quan trọng. Các bước bao gồm: xóa toàn bộ các VM do hacker tạo ra + xóa toàn bộ các service account + API key đã tạo trước đó. Ngắt billing ra khỏi project đó và liên hệ với support của Google Cloud để nhận được sự hỗ trợ. Mặc dù chỉ có hơn chục phút ít ỏi nhưng nhóm tấn công đã dựng rất nhiều các VM có GPU để đào coin (nhớ hồi đó người người đào coin nhà nhà đào coin nên việc tấn công chủ yếu là tạo VM để đào coin). Tổng thiệt hại là project mất toàn bộ lượng credit khoảng 4k$ chỉ trong vòng khoảng 30 phút ít ỏi.

Để cho mọi người dễ hình dung thì mình sẽ tính như sau:

Thường Hacker sẽ cố gắng tạo nhiều VM có GPU gắn nhiều nhất có thể tại tất cả các region mà chúng có thể tạo được. Lấy trung bình theo bảng giá trên là 2.48$ trên GPU trên 1 giờ, giả định tạo được 50 VM sử dụng card NVIDIA V100 8GPU

50*2.48*8=992$ / 1 tiếng

Tính toán trên chưa bao gồm CPU và RAM của 1 VM, chưa bao gồm các chi phí ổ đĩa, băng thông, số lượng máy chủ và loại card được tạo sẽ khác nhau, và một đặc điểm kẻ tấn công sẽ dùng IaC để tạo ra hàng loạt VM chứ không tạo bằng tay đâu nên con số trên sẽ tăng 1 cách chóng mặt.

5.Bài học rút ra

Trong quá trình theo dõi việc tạo ra các budget alerts là vô cùng cần thiết và nên tạo ngay sau khi tạo mỗi project.
Dù bất cứ môi trường nào, bao nhiêu project thì việc phân quyền tối thiểu là vô cùng quan trọng
Nên tạo gửi cảnh báo cho càng nhiều người trong team càng tốt vì trong trường hợp trên mình đang không online (Thường mình sẽ setup gửi cho tất cả những người có trong dự án từ PM cho đến các Dev)
Không nên chỉ tạo ra mỗi 1 kênh thông báo là email vì trong rất nhiều trường hợp email bị miss hoặc người theo dõi không để ý. Nên có thêm các kênh giao tiếp nội bộ như zalo, slack, telegram ,...
Phải luôn bình tĩnh trong quá trình xử lý sự cố tránh tình trạng đổ lỗi cho nhau nên cùng tập trung xử lý sự cố trước mắt rồi tính tới vấn đề lỗi do ai. Thật may mắn Lead trực tiếp đã rất tâm lý để ae kỹ thuật xử lý xong rồi mới họp báo cáo vấn đề rồi đưa ra giải pháp để tránh các tình trạng đáng tiếc xảy ra tiếp theo.

==========Khi phát hiện bị tấn công cần phải làm gì ?===============
Bước 1: Đổi mật khẩu tài khoản Owner
Bước 2: Ngắt quyền các tài khoản không phải là Owner trên Google Cloud
Bước 3: Ngắt quyền các tài khoản service account / xóa các API Key đang sử dụng
Bước 4: Xóa các tài nguyên đang được tạo sai mục đích
Bước 5: Ngắt billing ra khỏi project
Bước 6: Viết ticket cho Google Cloud support để nhận hỗ trợ
Bước 7: Đọc logging của toàn bộ hệ thống
Bước 8: Họp nội bộ cả team phân tích tình huống đưa ra phương hướng giải quyết
Bước 9: Liên hệ google cloud nhờ support đồng thời
Bước 10: Khôi phục lại các tài nguyên, quyền, billing cho project.

======Dưới đây là 1 số lưu ý gần như bắt buộc khi sử dụng Cloud=========
1.Google workspace/Cloud Identity
-Bản chất muốn sử dụng Google cloud thì sẽ phải sử dụng gmail để đăng nhập vào trong trang portal nên việc sử dụng Google workspace để quản lý tập trung là rất cần thiết.
-Không sử dụng gmail cá nhân để quản trị -> 1 số công ty đã chót sử dụng email của Microsoft hay dùng kiểu này
-Sử dụng Google workspace group để nhóm các tài khoản trong cùng 1 phòng ban để dễ dàng quản lý thêm xóa thành viên cũng như áp dụng các chính sách bảo mật từ trên xuống
-Luôn bật MFA cho tất cả tài khoản trong org. Áp dụng chính sách từ Google workspace
-Luôn có 2 tài khoản Admin ở trên cả Google workspace và Google Cloud để dự phòng 1 người bị hack chiếm quyền

2.Bật MFA đối với tất cả các tài khoản
Nhắc lại 1 lần nữa ** Luôn bật MFA đối với tất cả các tài khoản **

3.Phân quyền IAM
-Áp dụng nguyên tắc phân quyền tối thiểu. Không được phân quyền Owner quá 3 tài khoản ngay cả khi trên môi trường test
-Cẩn thận sử dụng service account -> Hạn chế các quyền như Owner, Create VM -> vì đã có rất nhiều hacker tấn công từ đây

Case 1: Lập trình viên test ứng dụng để thông tin service account trong code và đẩy lên Github public -> Hacker quét thông tin github lấy được service account tạo ra hàng loạt các VM gắn card đồ họa NVIDIA đào coin

Case 2: Để Service account trong code -> Hacker tạo ra các VM tại nhiều region để đốt tiền nạn nhân

Case 3: Service account mất -> Hacker tạo 1 script chạy là có thể tạo rất nhiều tài nguyên làm phát sinh chi phí

4.Firewall
-Không bao giờ được mở 0.0.0.0/0 -> Môi trường test mở xong test phải đóng lại ngay lập tức
-SSH qua port 22 chỉ để địa chỉ IP của công ty mới có thể truy cập SSH
-Bật log trong VPC để ghi lại xử lý trên Google Cloud

5.Thiết lập ngưỡng cảnh báo trên Billing
Bắt buộc phải có ngưỡng cảnh báo để nhận thông tin khi có phát sinh chi phí hơn các tháng khác

6.Bảo mật nâng cao
Sử dụng VPN

Sử dụng VPN để đảm bảo mật từ client lên trên server (trừ trường hợp khách hàng không có hạ tầng đáp ứng)
Thiết lập 2 đường VPN để đảm bảo khi có sự cố xảy ra.

*Sử dụng key mã hóa *
Đối với các môi trường như ngân hàng, tài chính, kế toán -> Tìm hiểu thêm các case để sử dụng mã hóa file. Khá phức tạp trong việc đọc mở nhưng cần thiết.
Sử dụng các tool để masking dữ liệu ngay trong bản và quá trình truyền dữ liệu như Cloud Data Loss Prevention
Các cơ sở dữ liệu trên Google Cloud đều có các giải pháp mã hóa dữ liệu -> tùy thuộc môi trường, doanh nghiệp, nghiệp vụ có thể sử dụng

Sử dụng API
Sử dụng các API của Google cần bảo mật key/token cẩn thận
Tự code API -> phải có giải pháp để bảo vệ API của mình, có thể sử dụng Google APIgee, WSO2, Kong

*Lên lịch audit định kỳ *
Phải có kế hoạch audit định kỳ đối với các project trong ORG. Nghiêm túc thực hiện ngay cả đó là project test/dev

*Sử dụng các dịch vụ nâng cao đến từ Google để cấu hình *
Security Command Center → Check các lỗ hổng bảo mật
Cloud Key Management → Ứng dụng mã hóa dữ liệu
Chronicle Security Operations suite
BeyondCorp Enterprise
VPC Service Controls → Dùng để kiểm soát truy cập tới tất cả dịch vụ Google cloud
Chi tiết tham khảo Link: https://cloud.google.com/security

Chi tiết tham khảo thêm tài liệu từ GDG Cloud Hanoi

Tham khảo thêm các bài viết từ:
https://medium.com/@dangduchuygdg
https://cloudnewway.blogspot.com/

App runner with CloudFormation AWS (json, nodejs, java )

Huy Dang — Tue, 04 Jun 2024 17:16:19 +0000

Refer to the previous article to understand the architectural model:
https://dev.to/huydanggdg/migrate-heroku-to-aws-1d73

1.Setup connect github

2.Create file template json for Cloudformation

Example for nodejs

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Resources": {
    "AppRunnerService": {
      "Type": "AWS::AppRunner::Service",
      "Properties": {
        "ServiceName": "client",
        "SourceConfiguration": {
          "AuthenticationConfiguration": {
            "ConnectionArn": "arn:aws:apprunner:ap-northeast-1:68972488xxx:connection/app/xxxxxxxxxx"
          },
          "CodeRepository": {
            "RepositoryUrl": "https://github.com/huydanggdg/client",
            "SourceCodeVersion": {
              "Type": "BRANCH",
              "Value": "main"
            },
            "CodeConfiguration": {
              "ConfigurationSource": "API",
              "CodeConfigurationValues": {
                "Runtime": "NODEJS_14",
        "StartCommand": "npm run production",
                "BuildCommand": "npm install",               
                "Port": "8080"
              }
            }
          }
        },
        "InstanceConfiguration": {
          "Cpu": "1024",
          "Memory": "2048"
        }
      }
    }
  }
}

Example for java

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Resources": {
    "AppRunnerService": {
      "Type": "AWS::AppRunner::Service",
      "Properties": {
        "ServiceName": "java-main",
        "SourceConfiguration": {
          "AuthenticationConfiguration": {
            "ConnectionArn": "arn:aws:apprunner:ap-northeast-1:6897248xxxx:connection/app/xxxxxxx"
          },
          "CodeRepository": {
            "RepositoryUrl": "https://github.com/huydanggdg/java-main",
            "SourceCodeVersion": {
              "Type": "BRANCH",
              "Value": "main"
            },
            "CodeConfiguration": {
              "ConfigurationSource": "API",
              "CodeConfigurationValues": {
                "Runtime": "CORRETTO_8",
        "StartCommand": "java -Xms256m -jar target/gms_agm.jar .",
                "BuildCommand": "mvn package",               
                "Port": "3020"
              }
            }
          }
        },
        "InstanceConfiguration": {
          "Cpu": "2048",
          "Memory": "4096"
        }
      }
    }
  }
}

Example for Database

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Description": "RDS PostgreSQL with Auto-Created VPC for Singer",
  "Parameters": {
    "DBPassword": {
      "Type": "String",
      "NoEcho": true,
      "Description": "Password for the PostgreSQL database"
    }
  },
  "Resources": {
    "VPC": {
      "Type": "AWS::EC2::VPC",
      "Properties": {
        "CidrBlock": "10.0.0.0/16",
        "EnableDnsSupport": true,
        "EnableDnsHostnames": true,
        "Tags": [{ "Key": "Name", "Value": "SingerVPC" }]
      }
    },
    "InternetGateway": {
      "Type": "AWS::EC2::InternetGateway",
      "Properties": {
        "Tags": [{ "Key": "Name", "Value": "SingerIGW" }]
      }
    },
    "VPCGatewayAttachment": {
      "Type": "AWS::EC2::VPCGatewayAttachment",
      "Properties": {
        "VpcId": { "Ref": "VPC" },
        "InternetGatewayId": { "Ref": "InternetGateway" }
      }
    },
    "SubnetGroup": {
      "Type": "AWS::RDS::DBSubnetGroup",
      "Properties": {
        "DBSubnetGroupDescription": "Subnets for Singer RDS",
        "SubnetIds": [
          { "Ref": "PublicSubnet1" },
          { "Ref": "PublicSubnet2" }
        ]
      }
    },
    "PublicSubnet1": {
      "Type": "AWS::EC2::Subnet",
      "Properties": {
        "VpcId": { "Ref": "VPC" },
        "CidrBlock": "10.0.0.0/24",
        "AvailabilityZone": { "Fn::Select": [0, { "Fn::GetAZs": "" }] },
        "MapPublicIpOnLaunch": true,
        "Tags": [{ "Key": "Name", "Value": "SingerPublicSubnet1" }]
      }
    },
    "PublicSubnet2": {
      "Type": "AWS::EC2::Subnet",
      "Properties": {
        "VpcId": { "Ref": "VPC" },
        "CidrBlock": "10.0.1.0/24",
        "AvailabilityZone": { "Fn::Select": [1, { "Fn::GetAZs": "" }] },
        "MapPublicIpOnLaunch": true,
        "Tags": [{ "Key": "Name", "Value": "SingerPublicSubnet2" }]
      }
    },
    "PostgreSQLInstance": {
      "Type": "AWS::RDS::DBInstance",
      "Properties": {
        "AllocatedStorage": "20",
        "DBInstanceClass": "db.t3.micro",
        "Engine": "postgres",
        "EngineVersion": "14",
        "MasterUsername": "admin",
        "MasterUserPassword": { "Ref": "DBPassword" },
        "DBName": "singer_db",
        "PubliclyAccessible": false,
        "DBSubnetGroupName": { "Ref": "SubnetGroup" }
      }
    }
  },
  "Outputs": {
    "PostgreSQLInstanceEndpoint": {
      "Description": "Endpoint for the PostgreSQL instance",
      "Value": { "Fn::GetAtt": ["PostgreSQLInstance", "Endpoint.Address"] }
    }
  }
}

3.Run code

Default option and review => Submit

4.Check service
5.Delete Stack => AWS auto clear service

Azure AI Engineer Associate - AI-102 2024

Huy Dang — Fri, 31 May 2024 15:05:28 +0000

1.Target audience:

-Individuals with cloud knowledge who want to learn more about AI
-Professionals focused on deploying and operating cloud services on Azure (MLOps)
-Note that the exam focuses on operational aspects and does not delve into AI algorithms and theories.

2.Prepare

-Successful completion of the AI-900 exam
-2 years of experience working with Azure services
-Total study time: 2 months

3.Cost
$0 with a voucher obtained from participating in The Microsoft Learn AI Skills Challenge

4.Study materials
4.1. Theoretical study materials
AI-102 by John Savill's Technical Training (Subscribe to this channel for Azure learning)
Microsoft Training

4.2.Practice exams
Refer to Examtopics
Refer to the following videos:
https://www.youtube.com/watch?v=Jlo4tBS66C8
https://www.youtube.com/watch?v=DWI4jd617iA&t=576s
https://www.youtube.com/watch?v=RYFBzKod-wY
https://youtu.be/YPwJmvi3DZ8

5.Exam details

At the beginning of the test, the programming language in the test will be asked in C# or Python
Total exam time is 100 minutes
No practice questions
Questions are divided into 3 types (About 60 questions):
- Multi choice
- Drag and drop to sort order
- Yes/No questions (Returning to review is not allowed after clicking next) (6 questions)
- Case study questions (6 questions)

Good luck with your exam preparation!

==================== Tiếng việt ====================
1.Đối tượng thi chứng chỉ
-Đang học Cloud muốn tìm hiểu thêm về AI
-Tập trung vào triển khai vận hành dịch vụ Cloud trên Azure (MLOps)
-Nội dung thiên về mặt vận hành dịch vụ nên không đi sâu vào thuật toán và các lý thuyết về AI nên mọi người cân nhắc trước khi thi
2.Nền tảng

-Đã từng thi đỗ AI-900 của Microsoft
-Đã từng có 2 năm làm về các dịch vụ trên Azure

3.Tổng thời gian học
-Khoảng 2 tháng
-Chi phí 0$ vì có voucher sau khi tham dự The Microsoft Learn AI Skills Challenge

4.Các loại tài liệu học

4.1.Tài liệu học lý thuyết

-AI-102 của John Savill's Technical Training (Học Azure thì cứ subscribed kênh này)
-Trainning từ Microsoft

4.2.Đề thi thử

-Tham khảo Examtopic
-Tham khảo video sau:
https://www.youtube.com/watch?v=Jlo4tBS66C8
https://www.youtube.com/watch?v=DWI4jd617iA&t=576s
https://www.youtube.com/watch?v=RYFBzKod-wY
https://youtu.be/YPwJmvi3DZ8

5.Thi

-Khi bắt đầu bài thi sẽ hỏi ngôn ngữ lập trình trong bài thi C# hoặc Python
-Tổng thời gian làm bài là 100 phút
-Không có câu hỏi thực hành
-Câu hỏi chia làm 3 dạng (Khoảng 60 câu):
+Multi choice
+Kéo thả sắp xếp thứ tự
+Câu hỏi Yes/No (Không cho phép quay lại review khi đã nhấn next) (6 câu)
+Câu hỏi Case study (6 câu)

Securely connect via SSH without an SSH key (AWS/Google Cloud/Azure)

Huy Dang — Sun, 12 May 2024 06:04:54 +0000

1.AWS Systems Manager

The diagram above is referenced from the article: https://medium.com/@vtstanescu/ssh-alternative-in-aws-d0f67a5a460d

Outstanding features:

Session Manager: Securely access and control your EC2 instances without exposing SSH ports or using SSH keys.
Incident Manager: Automatically detects and responds to incidents, such as application errors or hardware problems, by performing automated troubleshooting actions.
Ability to setup to many other cloud providers. https://aws.amazon.com/vi/blogs/mt/use-aws-systems-manager-for-multi-cloud-operations-management-part-1/

2.IAP and OS login

Outstanding features:

Simplified SSH Access: OS Login enables you to use your Google identity to SSH into your Linux VMs, eliminating the need to manage SSH keys.
Enhanced Security: IAP provides an additional layer of security by controlling access to your applications and VMs based on user identity and context. This means that users can only access resources if they have the appropriate permissions, regardless of their network location.
Context-Aware Access: IAP can take into account various contextual factors, such as user location, device type, and time of day, to make more informed access decisions.

See details at
https://github.com/GoogleCloudPlatform/iap-desktop

3.Azure Bastion host

Outstanding features:

No Public IP Required: Eliminates the need to expose your VMs to the public internet via public IP addresses. This significantly reduces the attack surface and protects your VMs from unauthorized access attempts.
Azure AD Integration: Leverages Azure Active Directory for authentication, allowing you to manage access to your VMs using your existing identity infrastructure.

Thank you for reading the article