AWS Security & Compliance

1. AWS Shared Responsibility Model (Mô hình Trách nhiệm Chung)

Câu hỏi thi hay hỏi: “Ai chịu trách nhiệm cho cái gì?”

AWS chịu trách nhiệm “OF the cloud” – bảo mật hạ tầng:

• Data center vật lý, phần cứng, mạng toàn cầu
• Hypervisor, firmware
• Patch hệ điều hành nền tảng (managed services)

Customer chịu trách nhiệm “IN the cloud” – bảo mật những gì bạn đặt lên:

• Data, encryption, IAM, network config, OS (với EC2)

Shared (cả hai): Patch Management, Configuration Management, Training

Mẹo nhớ: EC2 = bạn quản lý OS trở lên. RDS = AWS quản lý DB engine, bạn quản lý credential/encryption/backup. S3 = AWS lo durability, bạn lo bucket policy/ACL/encryption.

2. DDOS Protection

AWS Shield Standard – miễn phí, tự động cho tất cả customer, chống Layer 3/4 (SYN flood, UDP flood, Reflection attack).

AWS Shield Advanced – trả phí, thêm:

• 24/7 DDoS Response Team (DRP)
• Bảo vệ chi phí tăng đột biến do DDoS
• Áp dụng cho EC2, ELB, CloudFront, Route 53, Global Accelerator

AWS WAF – chống Layer 7 (HTTP):

• Deploy trên ALB, API Gateway, CloudFront
• Dùng Web ACL: lọc theo IP, header, body, URI
• Chống SQL Injection, XSS, geo-block, rate limiting

Phân biệt nhanh: Shield = chống DDoS (volume attack). WAF = chống exploit ứng dụng web (application layer).

3. Penetration Testing

AWS cho phép tự pentest không cần xin phép trước trên 8 dịch vụ: EC2/NAT/ELB, RDS, CloudFront, Aurora, API Gateway, Lambda, Lightsail, Elastic Beanstalk.

Cấm tuyệt đối: DoS/DDoS giả lập, port flooding, protocol flooding, DNS zone walking qua Route 53.

4. Encryption – Mã hóa dữ liệu

At rest = dữ liệu đang lưu trữ (EBS, S3, RDS, EFS, Glacier).

In transit = dữ liệu đang truyền trên mạng → dùng SSL/TLS/HTTPS.

5. AWS KMS – Key Management Service

• AWS quản lý encryption key thay bạn
• Nghe thấy “encryption” trên AWS → nghĩ ngay đến KMS
• Opt-in (bật thủ công): EBS, S3, RDS, Redshift, EFS
• Tự động bật sẵn: CloudTrail Logs, S3 Glacier, Storage Gateway

4 loại key:

6. AWS CloudHSM

• HSM = Hardware Security Module – chip phần cứng chuyên mã hóa
• Bạn tự quản lý key hoàn toàn, AWS không có quyền truy cập
• Đạt chuẩn FIPS 140-2 Level 3 (cao hơn KMS là Level 2)
• Dùng khi compliance yêu cầu hardware-level key custody

So sánh KMS vs CloudHSM: KMS = AWS giữ key cho bạn. CloudHSM = bạn tự giữ key trên phần cứng riêng.

7. AWS Certificate Manager (ACM)

• Cấp phát và tự động gia hạn SSL/TLS certificate
• Miễn phí cho public TLS certificate
• Tích hợp với: ELB, CloudFront, API Gateway
• Mục đích: mã hóa in-transit (HTTPS)

8. AWS Secrets Manager

• Lưu trữ secrets: DB password, API key, token
• Tự động rotate secret theo lịch
• Tích hợp KMS để mã hóa secrets
• Tích hợp trực tiếp với RDS, Redshift, DocumentDB

Phân biệt ACM vs Secrets Manager: ACM = certificate TLS. Secrets Manager = password/API key của ứng dụng.

9. AWS Artifact

• Không phải service kỹ thuật – là portal tài liệu compliance
• Artifact Reports: tải báo cáo kiểm toán từ bên thứ 3 (ISO, PCI DSS, SOC 1/2/3)
• Artifact Agreements: ký/theo dõi thỏa thuận pháp lý (BAA cho HIPAA)
• Dùng khi: auditor hỏi “AWS có chứng chỉ gì không?”

10. AWS GuardDuty

• Threat detection tự động dùng Machine Learning
• Không cần cài agent, enable 1 click, trial 30 ngày
• Phân tích input từ: CloudTrail, VPC Flow Logs, DNS Logs, Kubernetes Audit Logs
• Phát hiện: API call bất thường, IP đáng ngờ, cryptocurrency mining
• Kết hợp với CloudWatch Events → trigger Lambda hoặc SNS để tự động response

11. AWS Inspector

• Vulnerability scanning tự động cho EC2 và container (ECR)
• EC2: cần SSM Agent, scan OS vulnerabilities + network reachability
• ECR: scan container image khi push
• Gán risk score để ưu tiên xử lý
• Kết quả đẩy sang Security Hub và EventBridge

Nhớ: Inspector = chỉ cho EC2 + container. Không dùng cho S3, RDS, Lambda.

12. AWS Config

• Ghi lại lịch sử thay đổi cấu hình của AWS resources theo thời gian
• Trả lời câu hỏi: “Security group có mở SSH không?”, “S3 bucket có public không?”, “ALB thay đổi gì từ hôm qua?”
• Có thể đặt Config Rules → nhận cảnh báo SNS khi vi phạm
• Per-region, nhưng có thể aggregate nhiều region/account
• Lưu data vào S3, query bằng Athena

Phân biệt Config vs CloudTrail: Config = cấu hình resource thay đổi thế nào. CloudTrail = ai gọi API nào lúc mấy giờ.

13. Amazon Macie

• Dùng Machine Learning để phát hiện dữ liệu nhạy cảm trong S3
• Nhận diện PII (họ tên, CCCD, số thẻ tín dụng, v.v.)
• Tự động scan và alert

14. AWS Security Hub

• Trung tâm tổng hợp bảo mật nhiều account
• Kéo findings từ: GuardDuty, Inspector, Macie, IAM Access Analyzer, Firewall Manager, partner tools
• Dashboard unified, tự động hóa compliance check
• Bắt buộc bật AWS Config trước mới dùng được

15. Amazon Detective

• Dùng sau khi GuardDuty/Macie/Security Hub phát hiện vấn đề
• Phân tích root cause bằng ML + graph
• Tự động thu thập: VPC Flow Logs, CloudTrail, GuardDuty findings
• Mục tiêu: trả lời “Tại sao xảy ra? Bắt đầu từ đâu?”

Flow điển hình: GuardDuty phát hiện → Security Hub tổng hợp → Detective điều tra root cause.

16. AWS Abuse

• Báo cáo AWS resource bị lợi dụng cho spam, DDoS, malware, nội dung vi phạm
• Liên hệ: abuse@amazonaws.com hoặc AWS Abuse form

17. Root User Privileges

Root user = chủ tài khoản, không dùng cho việc thường ngày.

Chỉ root mới làm được:

• Đổi account settings (tên, email, password, access key)
• Đóng AWS account
• Thay đổi/hủy Support plan
• Đăng ký bán Reserved Instance Marketplace
• Bật MFA cho S3 bucket
• Ký GovCloud
• Khôi phục IAM user permissions

18. IAM Access Analyzer

• Scan resource policies để tìm truy cập ngoài ý muốn (public hoặc cross-account)
• Phạm vi scan: S3, IAM Role, KMS Key, Lambda, SQS, Secrets Manager
• Định nghĩa Zone of Trust (account hoặc Organization) → bất kỳ access nào ra ngoài zone → sinh finding

Bảng tổng kết nhanh