Bảo mật

Hệ thống bảo mật của AI nội bộ: các lớp phòng thủ

Các lớp phòng thủ theo chiều sâu của hệ thống AI nội bộ on-premise Namtech

Bảo mật là lợi thế cốt lõi của AI nội bộ: vì mô hình và dữ liệu chạy hoàn toàn trên hạ tầng của bạn, prompt và tài liệu không gửi ra bên thứ ba. Nhưng "tại chỗ" chưa tự động an toàn — cần triển khai phòng thủ theo chiều sâu (defense in depth): nhiều lớp độc lập bảo vệ trung tâm là dữ liệu & mô hình. Bài này liệt kê 8 lớp phòng thủ, rủi ro riêng của AI (prompt injection, rò rỉ qua RAG), và cách bảo mật giúp chứng minh tuân thủ PDPL dễ hơn.

Tóm tắt nhanh

  • Vì sao là lợi thế: dữ liệu xử lý tại chỗ, không rời tổ chức, giảm hẳn bề mặt tấn công so với gọi API AI công cộng.
  • Phòng thủ theo chiều sâu: 8 lớp — cô lập mạng, xác thực/phân quyền, mã hóa, audit log, chống prompt injection, xử lý PII, quản lý bí mật, an ninh vật lý.
  • Rủi ro riêng của AI: prompt injection và rò rỉ dữ liệu qua RAG là mối đe dọa mới, cần kiểm soát nguồn tài liệu và phân quyền theo tài liệu.
  • Tuân thủ dễ hơn: bảo mật + dữ liệu tại chỗ giúp chứng minh tuân thủ PDPL rõ ràng hơn.
  • Không phải "cài xong là an toàn": bảo mật là quy trình liên tục — cứng hóa, giám sát, cập nhật.

Vì sao bảo mật là lợi thế cốt lõi của AI nội bộ

Khi dùng AI cloud, mỗi prompt và tài liệu bạn dán vào đều rời khỏi tổ chức và được xử lý trên hạ tầng nhà cung cấp — bạn phải tin vào điều khoản, nơi đặt máy chủ và cách họ lưu trữ. AI nội bộ đảo ngược điều đó: mô hình chạy trên máy chủ của bạn, nên toàn bộ prompt, tài liệu và câu trả lời ở lại trong mạng nội bộ. Bề mặt tấn công (attack surface) thu hẹp lại còn đúng phạm vi bạn kiểm soát.

Nhưng "chạy tại chỗ" là điều kiện cần, không phải đủ. Một hệ thống AI nội bộ cấu hình sai — để lộ cổng ra internet, không phân quyền, không mã hóa — vẫn có thể rò rỉ dữ liệu. Nguyên tắc đúng là defense in depth: không dựa vào một lớp bảo vệ duy nhất, mà xếp nhiều lớp độc lập để nếu một lớp thủng thì lớp kế tiếp vẫn chặn được. Đây là nguyên tắc nền tảng trong an ninh mạng nói chung, và đặc biệt phù hợp với AI vì nó có thêm những bề mặt tấn công mới (prompt, tài liệu RAG).

Các lớp phòng thủ (defense in depth)

Từ ngoài vào trong, một hệ thống AI nội bộ nên có các lớp sau. Mỗi lớp giải quyết một loại rủi ro khác nhau và không thay thế lớp còn lại:

  1. Cô lập mạng & chặn kết nối ra ngoài (egress): luồng suy luận (inference) không cần internet — chặn kết nối ra ngoài ở tường lửa để prompt/tài liệu không thể bị đẩy ra ngoài, kể cả khi phần mềm bị xâm nhập. Đây là lớp chứng minh mạnh nhất cho tuyên bố "dữ liệu không rời tổ chức".
  2. Xác thực & phân quyền (RBAC/SSO): mỗi người dùng đăng nhập qua danh tính doanh nghiệp (SSO), và quyền truy cập được cấp theo vai trò (RBAC) — ai được hỏi gì, được đọc tài liệu nào.
  3. Mã hóa dữ liệu (at rest & in transit): dữ liệu lưu trên đĩa được mã hóa (at rest), và mọi kết nối trong hệ thống dùng TLS (in transit) — kể cả trong mạng nội bộ.
  4. Nhật ký kiểm toán (audit log) đầy đủ: ghi lại ai hỏi gì, truy cập tài liệu nào, khi nào — để điều tra sự cố, phát hiện lạm dụng và phục vụ chứng minh tuân thủ.
  5. Chống prompt injection & jailbreak: lọc và cô lập nội dung không tin cậy đưa vào prompt, giới hạn quyền của mô hình, tránh để lệnh trong tài liệu điều khiển hệ thống.
  6. Xử lý PII / che dữ liệu nhạy cảm: phát hiện và che (redaction/masking) thông tin cá nhân trước khi đưa vào ngữ cảnh hoặc log, tối thiểu hóa dữ liệu nhạy cảm lộ ra.
  7. Quản lý bí mật (secrets/keys): khóa, token, mật khẩu không nằm trong mã nguồn hay biến môi trường tùy tiện — dùng secrets manager, xoay khóa định kỳ, cấp quyền tối thiểu.
  8. An ninh vật lý của máy chủ: vì máy đặt tại chỗ, cần kiểm soát ai chạm được vào phần cứng — phòng máy khóa, kiểm soát ra vào, mã hóa đĩa để mất máy không mất dữ liệu.

Xem thêm bài đồng hành để hiểu các lớp này nằm ở đâu trong kiến trúc: Sơ đồ kiến trúc hệ thống AI nội bộ.

An ninh vật lý — phòng máy khóa, kiểm soát ra vào Cô lập mạng · chặn egress (inference offline) Xác thực & phân quyền — SSO / RBAC Mã hóa — at rest & in transit (TLS) Guardrails — anti prompt injection · PII · audit Dữ liệu & Mô hình
Phòng thủ theo chiều sâu: các lớp đồng tâm — an ninh vật lý → cô lập mạng → xác thực/RBAC → mã hóa → guardrails — bao quanh trung tâm là dữ liệu & mô hình. Sơ đồ: Namtech.

Rủi ro riêng của AI: prompt injection & rò rỉ qua RAG

Ngoài các rủi ro an ninh mạng thông thường, hệ thống AI có hai mối đe dọa mới mà đội bảo mật quen làm hạ tầng có thể chưa lường hết:

  • Prompt injection: nội dung không tin cậy (email, trang web, một tài liệu tải lên) chứa lệnh ẩn khiến mô hình làm điều không mong muốn — bỏ qua chỉ dẫn hệ thống, tiết lộ dữ liệu, hoặc gọi công cụ sai mục đích. Đây là rủi ro số 1 trong danh sách OWASP Top 10 cho ứng dụng LLM.
  • Rò rỉ dữ liệu qua RAG: khi AI "đọc" tài liệu nội bộ để trả lời, nếu không phân quyền theo tài liệu thì một người dùng có thể vô tình (hoặc cố ý) moi được nội dung mà lẽ ra họ không được xem — hệ thống trả lời từ tài liệu ngoài phạm vi quyền của họ.

Cách phòng, ở mức nguyên tắc:

  • Kiểm soát nguồn tài liệu: chỉ nạp vào RAG những nguồn tin cậy, đã kiểm duyệt; coi mọi nội dung do người dùng đưa vào là không tin cậy.
  • Lọc & cô lập: tách rõ chỉ dẫn hệ thống với nội dung dữ liệu, không để văn bản trong tài liệu được diễn giải như lệnh; giới hạn quyền và công cụ mà mô hình được gọi.
  • Phân quyền theo tài liệu: mỗi tài liệu (và mỗi mảnh embedding) mang nhãn quyền; khi truy hồi, chỉ trả về những mảnh mà người dùng hiện tại được phép đọc.
Cho đội IT

Checklist cứng hóa (hardening) tối thiểu cho một hệ AI nội bộ:

  • Chặn egress: tường lửa chặn kết nối ra ngoài cho host/serving; chỉ mở đúng cổng nội bộ cần thiết.
  • TLS toàn tuyến: mọi kết nối (kể cả nội bộ) dùng TLS; mã hóa đĩa (at rest) trên máy chủ.
  • RBAC + SSO: tắt tài khoản ẩn danh; gắn danh tính doanh nghiệp; cấp quyền tối thiểu.
  • Audit logging: log truy vấn, truy cập tài liệu và sự kiện quản trị vào nơi lưu tách biệt, chống sửa.
  • Secrets manager: không hardcode khóa/token; xoay khóa định kỳ; hạn chế đọc theo vai trò.

Xác minh nhanh rằng host serving không có đường ra internet (ví dụ dùng firewall của hệ điều hành):

# Linux: chặn mọi kết nối ra ngoài, chỉ chừa loopback + mạng LAN nội bộ
sudo ufw default deny outgoing
sudo ufw allow out on lo
sudo ufw allow out to 10.0.0.0/8 # chỉ mạng nội bộ
sudo ufw enable

# kiểm chứng: gọi ra internet phải THẤT BẠI (không có đường ra)
curl -sS --max-time 5 https://api.openai.com/v1/models # kỳ vọng: timeout / connection refused

Tuân thủ (PDPL) dễ chứng minh hơn

Pháp luật về bảo vệ dữ liệu cá nhân (PDPL) buộc doanh nghiệp kiểm soát nơi và cách dữ liệu được xử lý, và chứng minh được điều đó khi bị kiểm tra. Với AI nội bộ, hai yếu tố giúp việc chứng minh dễ hơn hẳn: (1) dữ liệu ở tại chỗ — bạn chỉ ra được máy chủ vật lý và ranh giới mạng nơi dữ liệu nằm; (2) bảo mật có kiểm soát — audit log, phân quyền và mã hóa là bằng chứng cụ thể cho các biện pháp bảo vệ, thay vì phụ thuộc vào điều khoản của bên thứ ba.

Nói cách khác, bảo mật không chỉ là kỹ thuật — nó tạo ra hồ sơ chứng minh tuân thủ. Chi tiết về khung pháp lý AI tại Việt Nam, xem Nghị định 142/2026 về AI.

Góc nhìn Namtech

Namtech triển khai nền tảng AI riêng tư nội bộ chạy 100% tại chỗ, và bảo mật được thiết kế theo đúng nguyên tắc phòng thủ theo chiều sâu ở trên: luồng suy luận không cần internet nên có thể chặn egress hoàn toàn, truy cập gắn danh tính doanh nghiệp và phân quyền theo vai trò, mọi truy vấn được audit. Chúng tôi coi bảo mật là một quy trình liên tục — cứng hóa lúc triển khai, giám sát khi vận hành, cập nhật theo mối đe dọa mới — chứ không phải một lần "cài xong là xong". Mục tiêu là để tuyên bố "dữ liệu không rời tổ chức" có bằng chứng đứng vững, không chỉ là lời hứa.

Câu hỏi thường gặp

AI nội bộ có tự động an toàn hơn AI cloud không?

Không tự động. AI nội bộ có lợi thế lớn là dữ liệu ở tại chỗ và bề mặt tấn công thu hẹp, nhưng chỉ an toàn khi được cứng hóa đúng: chặn egress, phân quyền, mã hóa, audit log. Một hệ nội bộ cấu hình sai vẫn có thể rò rỉ dữ liệu.

Prompt injection là gì và có nguy hiểm không?

Là việc nội dung không tin cậy (tài liệu, trang web, email) chứa lệnh ẩn khiến mô hình làm điều không mong muốn — tiết lộ dữ liệu hoặc gọi công cụ sai. Đây là rủi ro số 1 trong OWASP Top 10 cho ứng dụng LLM. Phòng bằng cách coi mọi input là không tin cậy, tách chỉ dẫn khỏi dữ liệu và giới hạn quyền của mô hình.

RAG có làm rò rỉ dữ liệu nội bộ không?

Có thể, nếu không phân quyền theo tài liệu. Cách phòng là gắn nhãn quyền cho từng tài liệu/mảnh embedding và chỉ truy hồi những mảnh mà người dùng hiện tại được phép đọc.

Bảo mật AI nội bộ giúp gì cho tuân thủ PDPL?

Dữ liệu ở tại chỗ giúp chỉ ra chính xác nơi dữ liệu được xử lý; audit log, phân quyền và mã hóa là bằng chứng cụ thể cho biện pháp bảo vệ. Cả hai tạo ra hồ sơ chứng minh tuân thủ rõ ràng hơn so với phụ thuộc điều khoản bên thứ ba.

Muốn triển khai AI nội bộ bảo mật đúng chuẩn?

Namtech triển khai nền tảng AI riêng tư nội bộ — mô hình mã nguồn mở chạy 100% trên hạ tầng của bạn, có đủ các lớp phòng thủ theo chiều sâu.

Đặt lịch tư vấn miễn phí

Lưu ý: Bài viết trình bày các thực hành bảo mật theo khung tham chiếu công khai (OWASP, NIST, MITRE ATLAS), cập nhật 02/07/2026; hãy áp dụng theo bối cảnh và yêu cầu tuân thủ cụ thể của tổ chức bạn.

Bắt đầu

Bắt đầu với một buổi khảo sát miễn phí

Để xác định gói phù hợp và phạm vi chi tiết, Namtech đề xuất một buổi khảo sát ngắn không tính phí.

Chúng tôi phản hồi trong vòng 1 ngày làm việc. Không spam, không chia sẻ thông tin của bạn.