1. Điện toán đám mây (Cloud Computing)
Bản chất & Lợi ích
Cloud Computing là việc phân phối các tài nguyên công nghệ thông tin (IT) theo nhu cầu qua Internet với chính sách thanh toán theo mức sử dụng (pay-as-you-go). Thay vì mua, sở hữu và bảo trì các trung tâm dữ liệu vật lý và máy chủ, bạn có thể tiếp cận các dịch vụ công nghệ.
- Linh hoạt (Agility): Triển khai tài nguyên chỉ trong vài phút.
- Co giãn (Elasticity): Tự động mở rộng hoặc thu hẹp tài nguyên theo lưu lượng truy cập thực tế.
- Tiết kiệm chi phí: Chuyển đổi chi phí đầu tư cố định (CAPEX) sang chi phí vận hành (OPEX).
- Triển khai toàn cầu: Đưa ứng dụng đến gần người dùng qua các Region/Zone.
Các mô hình dịch vụ chính
Cung cấp "phần cứng ảo" (CPU, RAM, Disk). Người dùng tự cài OS và quản lý.
Ví dụ: AWS EC2, Google Compute Engine.
Cung cấp môi trường để phát triển và deploy code, nhà cung cấp lo phần hạ tầng bên dưới.
Ví dụ: Heroku, Google App Engine, Cloudflare Pages.
Phần mềm hoàn chỉnh chạy trên cloud.
Ví dụ: Gmail, Dropbox, Office 365.
2. Cloudflare Pages & Web Tĩnh
Tại sao chọn Cloudflare Pages?
Cloudflare Pages là một nền tảng JAMstack (JavaScript, APIs, Markup) hiện đại. Nó cho phép các nhà phát triển front-end cộng tác và triển khai các trang web tĩnh (Static Site) và SSR (Server-side Rendering) một cách nhanh chóng.
Quy trình hoạt động cơ bản (Deployment Workflow)
- Preview Deployments: Tạo một đường dẫn (URL) riêng biệt cho mỗi Pull Request để kiểm tra các thay đổi trước khi merge code chính thức, giúp quá trình review dễ dàng hơn.
- Tích hợp CDN miễn phí: Nội dung được cache tại server gần người dùng nhất, giảm độ trễ (latency) xuống mili giây, cải thiện đáng kể tốc độ tải trang.
- Bảo mật mặc định: Tự động cấp chứng chỉ SSL/TLS miễn phí, hỗ trợ HTTP/3 và QUIC, bảo vệ website khỏi nhiều loại tấn công mạng cơ bản.
3. Phân tích Bảo mật (Security Audit)
Kết quả kiểm tra từ SecurityHeaders.com
Việc cấu hình các HTTP Response Headers là tuyến phòng thủ đầu tiên cho trình duyệt, giúp bảo vệ người dùng khỏi nhiều mối đe dọa phổ biến. Dưới đây là thống kê các lỗi thường gặp mà nhóm đã khảo sát trên các trang web mẫu:
*Tỷ lệ các website thiếu cấu hình Header quan trọng
Giải thích các Headers quan trọng
Content-Security-Policy (CSP)
Header mạnh mẽ nhất trong việc phòng chống XSS (Cross-Site Scripting). CSP quy định trình duyệt chỉ được phép tải các tài nguyên (JavaScript, CSS, hình ảnh, font chữ...) từ các nguồn (domain) đáng tin cậy đã được liệt kê rõ ràng. Điều này ngăn chặn việc thực thi mã độc từ bên ngoài.
Strict-Transport-Security (HSTS)
Bắt buộc trình duyệt phải sử dụng kết nối bảo mật HTTPS cho mọi yêu cầu tới server trong một khoảng thời gian nhất định. HSTS ngăn chặn các cuộc tấn công downgrade protocol và Man-in-the-Middle (MITM) bằng cách đảm bảo dữ liệu luôn được mã hóa khi truyền tải.
X-Frame-Options
Header này ngăn chặn trang web của bạn bị nhúng (embed) vào một thẻ `iframe`, `frame` hoặc `object` trên trang web khác. Đây là cách phòng chống tấn công Clickjacking hiệu quả, nơi kẻ tấn công cố gắng lừa người dùng nhấp vào một yếu tố ẩn trên trang web của họ.
4. Đánh giá Hiệu năng (Core Web Vitals)
Google PageSpeed Insights
Google sử dụng bộ chỉ số Core Web Vitals để đánh giá trải nghiệm thực tế của người dùng trên website. Các chỉ số này tập trung vào tốc độ tải (loading), khả năng tương tác (interactivity) và độ ổn định hình ảnh (visual stability). Điểm số cao không chỉ tốt cho SEO mà còn giữ chân người dùng.
Kết luận: Khi triển khai trên Cloudflare Pages, nhờ mạng lưới CDN toàn cầu rộng khắp và các tính năng tối ưu hóa tích hợp sẵn (như nén Brotli tự động, tối ưu hình ảnh), các chỉ số Core Web Vitals thường đạt mức tối ưu (xanh lá) mà không cần cấu hình server phức tạp hay tối ưu thủ công quá nhiều.
Điểm số trung bình sau khi tối ưu
Thành viên thực hiện
Trịnh Khắc Nhựt
MSSV: 22004294
Cloud Architecture & Deployment
Trương Minh Thư
MSSV: 22004297
Content Strategy & Testing
Nguyễn Ngọc Hưởng
MSSV: 22004020
Security Audit & Frontend