OBELISK: Secure Stealth Data Vault

Hướng Tiếp Cận Mới Cho Lưu Trữ Dữ Liệu Nhạy Cảm

(Sau loạt bài về hạn chế của NAS/cloud truyền thống, bài viết này tập trung vào bài học kiến trúc và giải pháp thực tế)

Mục tiêu chính:

✔️ Giải thích tại sao vấn đề bảo mật dữ liệu nhạy cảm không nằm ở cấu hình hay vận hành, mà ở thiết kế kiến trúc gốc.

✔️ Giới thiệu cách tiếp cận data-centric security, capability-based access, stealth-by-design – phù hợp với môi trường dữ liệu chiến lược (doanh nghiệp lớn, VIP, cơ quan nhà nước).

✔️ Minh họa các thành phần cơ bản của hệ thống OBELISK – Secure Stealth Data Vault.

1. Recap: Giới hạn kiến trúc truyền thống

Từ các phân tích trước về NAS và cloud:

• Bề mặt mạng luôn mở → attack surface lớn
• Session & token dài hạn → quyền truy cập khó kiểm soát chặt chẽ
• ACL/RBAC tĩnh → quyền quá rộng, thiếu ràng buộc ngữ cảnh
• Mã hóa mạnh vẫn thất bại → nếu key hoặc runtime bị chiếm đoạt

Kết luận quan trọng Không thể bảo vệ dữ liệu nhạy cảm chỉ bằng cách tăng cường firewall, VPN hay thêm MFA. Cần thiết kế lại kiến trúc từ nền tảng: Zero Trust thực chất, capability-based, stealth-by-design.

2. Bài học kiến trúc (Architectural Lessons)

2.1 Data-centric security

🔒 Dữ liệu là trung tâm – mọi quyết định bảo mật xoay quanh tính an toàn và quyền truy cập của chính data.

Kiến trúc cần tách biệt control plane (quản lý) khỏi data plane (truy cập dữ liệu) để:

• Admin không trực tiếp chạm vào dữ liệu
• Quyền truy cập giới hạn nghiêm ngặt, có thể revoke tức thì

2.2 Stateless & short-lived access

Session dài hạn là điểm yếu chí mạng.

Giải pháp: 

• ✅ Capability – chỉ định quyền với scope hẹp + time window ngắn + nonce chống replay 
• ✅ Stateless verification – giảm rủi ro lộ session/token

2.3 Stealth-by-design

Hạ tầng mạng phải ẩn mình:

• Không expose service công khai
• Firewall default DROP
• Chỉ kết nối qua WireGuard / private link

Thực tế: Kẻ tấn công không thể tấn công thứ mà chúng không thấy.

2.4 Capability-based access

Mỗi capability chỉ cho phép một hành động duy nhất trên một resource trong khung thời gian ngắn.

✅ Sử dụng AEAD proof (AES-GCM / XChaCha20-Poly1305) để xác thực stateless. ✅ Nếu capability bị capture → attacker chỉ thực hiện được hành động hạn chế, không dump toàn bộ dữ liệu.

3. Giải pháp mới: OBELISK – Secure Stealth Data Vault

Mục tiêu thiết kế

• Phục vụ dữ liệu nhạy cảm cấp cao (VIP, doanh nghiệp lớn, cơ quan nhà nước)
• Đơn giản, nhanh chóng, dễ vận hành
• Có thể mở rộng thành backend nội bộ an toàn

3.1 Kiến trúc DATS

DATS (Deterministic Access to Trusted Storage) – triết lý cốt lõi:

• ✔️ Data-centric security
• ✔️ Capability-based access
• ✔️ Stealth-by-design
• ✔️ Stateless verification

3.2 7 lớp bảo mật

3.3 Các thành phần cốt lõi

• capd: Service xác thực capability (viết bằng Go)
• datad: Service đọc/ghi file mã hóa, stream data trực tiếp trong memory
• Encrypted Storage: Mỗi object mã hóa riêng, key dẫn xuất, không cache plaintext

4. Threat Modeling & Benefits

4.1 Threats được giả định và xử lý

• 🗸 Scan mạng, capture packet, replay request
• 🗸 Reverse client, exploit local service
• 🗸 Flood service

Không giả định: Crypto bị phá vỡ hoặc kernel bị chiếm lâu dài.

4.2 Lợi ích nổi bật

5. Tóm tắt

🔒 NAS và cloud truyền thống không đủ để bảo vệ dữ liệu nhạy cảm – vấn đề nằm ở kiến trúc gốc.

Bài học kiến trúc cốt lõi:

• 🗸 Data-centric security
• 🗸 Stateless & short-lived access
• 🗸 Stealth-by-design
• 🗸 Capability-based access

Hướng tiếp cận mới - OBELISK/DATS:

• ✔️ 7 lớp bảo mật từ hạ tầng đến audit
• ✔️ Thiết kế đơn giản, hiệu năng cao, dễ vận hành
• ✔️ Lý tưởng cho môi trường VIP, doanh nghiệp lớn và cơ quan nhà nước

Đây là nền tảng cho một hệ thống lưu trữ mà dữ liệu thực sự thuộc về chủ sở hữu, không phụ thuộc vào niềm tin vào mạng hay identity.