Skip to content

AWS Security & Compliance¤


1. AWS Shared Responsibility Model (Mô hình Trách nhiệm Chung)¤

Câu hỏi thi hay hỏi: "Ai chịu trách nhiệm cho cái gì?"

AWS chịu trách nhiệm "OF the cloud" – bảo mật hạ tầng:

  • Data center vật lý, phần cứng, mạng toàn cầu
  • Hypervisor, firmware
  • Patch hệ điều hành nền tảng (managed services)

Customer chịu trách nhiệm "IN the cloud" – bảo mật những gì bạn đặt lên:

  • Data, encryption, IAM, network config, OS (với EC2)

Shared (cả hai): Patch Management, Configuration Management, Training

Mẹo nhớ: EC2 = bạn quản lý OS trở lên. RDS = AWS quản lý DB engine, bạn quản lý credential/encryption/backup. S3 = AWS lo durability, bạn lo bucket policy/ACL/encryption.


2. DDOS Protection¤

AWS Shield Standard – miễn phí, tự động cho tất cả customer, chống Layer ¾ (SYN flood, UDP flood, Reflection attack).

AWS Shield Advanced – trả phí, thêm:

  • 24/7 DDoS Response Team (DRP)
  • Bảo vệ chi phí tăng đột biến do DDoS
  • Áp dụng cho EC2, ELB, CloudFront, Route 53, Global Accelerator

AWS WAF – chống Layer 7 (HTTP):

  • Deploy trên ALB, API Gateway, CloudFront
  • Dùng Web ACL: lọc theo IP, header, body, URI
  • Chống SQL Injection, XSS, geo-block, rate limiting

Phân biệt nhanh: Shield = chống DDoS (volume attack). WAF = chống exploit ứng dụng web (application layer).


3. Penetration Testing¤

AWS cho phép tự pentest không cần xin phép trước trên 8 dịch vụ: EC2/NAT/ELB, RDS, CloudFront, Aurora, API Gateway, Lambda, Lightsail, Elastic Beanstalk.

Cấm tuyệt đối: DoS/DDoS giả lập, port flooding, protocol flooding, DNS zone walking qua Route 53.


4. Encryption – Mã hóa dữ liệu¤

At rest = dữ liệu đang lưu trữ (EBS, S3, RDS, EFS, Glacier).

In transit = dữ liệu đang truyền trên mạng → dùng SSL/TLS/HTTPS.


5. AWS KMS – Key Management Service¤

  • AWS quản lý encryption key thay bạn
  • Nghe thấy "encryption" trên AWS → nghĩ ngay đến KMS
  • Opt-in (bật thủ công): EBS, S3, RDS, Redshift, EFS
  • Tự động bật sẵn: CloudTrail Logs, S3 Glacier, Storage Gateway

4 loại key:

Loại Ai tạo Ai quản lý
Customer Managed CMK Customer Customer (có thể rotate, import)
AWS Managed CMK AWS AWS (dùng cho từng service)
AWS Owned CMK AWS AWS (dùng nhiều account, ẩn hoàn toàn)
CloudHSM Keys Customer (từ HSM) Customer

6. AWS CloudHSM¤

  • HSM = Hardware Security Module – chip phần cứng chuyên mã hóa
  • Bạn tự quản lý key hoàn toàn, AWS không có quyền truy cập
  • Đạt chuẩn FIPS 140-2 Level 3 (cao hơn KMS là Level 2)
  • Dùng khi compliance yêu cầu hardware-level key custody

So sánh KMS vs CloudHSM: KMS = AWS giữ key cho bạn. CloudHSM = bạn tự giữ key trên phần cứng riêng.


7. AWS Certificate Manager (ACM)¤

  • Cấp phát và tự động gia hạn SSL/TLS certificate
  • Miễn phí cho public TLS certificate
  • Tích hợp với: ELB, CloudFront, API Gateway
  • Mục đích: mã hóa in-transit (HTTPS)

8. AWS Secrets Manager¤

  • Lưu trữ secrets: DB password, API key, token
  • Tự động rotate secret theo lịch
  • Tích hợp KMS để mã hóa secrets
  • Tích hợp trực tiếp với RDS, Redshift, DocumentDB

Phân biệt ACM vs Secrets Manager: ACM = certificate TLS. Secrets Manager = password/API key của ứng dụng.


9. AWS Artifact¤

  • Không phải service kỹ thuật – là portal tài liệu compliance
  • Artifact Reports: tải báo cáo kiểm toán từ bên thứ 3 (ISO, PCI DSS, SOC ½/3)
  • Artifact Agreements: ký/theo dõi thỏa thuận pháp lý (BAA cho HIPAA)
  • Dùng khi: auditor hỏi "AWS có chứng chỉ gì không?"

10. AWS GuardDuty¤

  • Threat detection tự động dùng Machine Learning
  • Không cần cài agent, enable 1 click, trial 30 ngày
  • Phân tích input từ: CloudTrail, VPC Flow Logs, DNS Logs, Kubernetes Audit Logs
  • Phát hiện: API call bất thường, IP đáng ngờ, cryptocurrency mining
  • Kết hợp với CloudWatch Events → trigger Lambda hoặc SNS để tự động response

11. AWS Inspector¤

  • Vulnerability scanning tự động cho EC2 và container (ECR)
  • EC2: cần SSM Agent, scan OS vulnerabilities + network reachability
  • ECR: scan container image khi push
  • Gán risk score để ưu tiên xử lý
  • Kết quả đẩy sang Security Hub và EventBridge

Nhớ: Inspector = chỉ cho EC2 + container. Không dùng cho S3, RDS, Lambda.


12. AWS Config¤

  • Ghi lại lịch sử thay đổi cấu hình của AWS resources theo thời gian
  • Trả lời câu hỏi: "Security group có mở SSH không?", "S3 bucket có public không?", "ALB thay đổi gì từ hôm qua?"
  • Có thể đặt Config Rules → nhận cảnh báo SNS khi vi phạm
  • Per-region, nhưng có thể aggregate nhiều region/account
  • Lưu data vào S3, query bằng Athena

Phân biệt Config vs CloudTrail: Config = cấu hình resource thay đổi thế nào. CloudTrail = ai gọi API nào lúc mấy giờ.


13. Amazon Macie¤

  • Dùng Machine Learning để phát hiện dữ liệu nhạy cảm trong S3
  • Nhận diện PII (họ tên, CCCD, số thẻ tín dụng, v.v.)
  • Tự động scan và alert

14. AWS Security Hub¤

  • Trung tâm tổng hợp bảo mật nhiều account
  • Kéo findings từ: GuardDuty, Inspector, Macie, IAM Access Analyzer, Firewall Manager, partner tools
  • Dashboard unified, tự động hóa compliance check
  • Bắt buộc bật AWS Config trước mới dùng được

15. Amazon Detective¤

  • Dùng sau khi GuardDuty/Macie/Security Hub phát hiện vấn đề
  • Phân tích root cause bằng ML + graph
  • Tự động thu thập: VPC Flow Logs, CloudTrail, GuardDuty findings
  • Mục tiêu: trả lời "Tại sao xảy ra? Bắt đầu từ đâu?"

Flow điển hình: GuardDuty phát hiện → Security Hub tổng hợp → Detective điều tra root cause.


16. AWS Abuse¤

  • Báo cáo AWS resource bị lợi dụng cho spam, DDoS, malware, nội dung vi phạm
  • Liên hệ: abuse@amazonaws.com hoặc AWS Abuse form

17. Root User Privileges¤

Root user = chủ tài khoản, không dùng cho việc thường ngày.

Chỉ root mới làm được:

  • Đổi account settings (tên, email, password, access key)
  • Đóng AWS account
  • Thay đổi/hủy Support plan
  • Đăng ký bán Reserved Instance Marketplace
  • Bật MFA cho S3 bucket
  • Ký GovCloud
  • Khôi phục IAM user permissions

18. IAM Access Analyzer¤

  • Scan resource policies để tìm truy cập ngoài ý muốn (public hoặc cross-account)
  • Phạm vi scan: S3, IAM Role, KMS Key, Lambda, SQS, Secrets Manager
  • Định nghĩa Zone of Trust (account hoặc Organization) → bất kỳ access nào ra ngoài zone → sinh finding

Bảng tổng kết nhanh¤

Service Mục đích cốt lõi
Shield Standard/Advanced Chống DDoS Layer ¾
WAF Chống exploit web Layer 7
KMS Quản lý encryption key (AWS giữ)
CloudHSM Encryption key hardware (bạn giữ)
ACM SSL/TLS certificate
Secrets Manager Lưu & rotate password/API key
Artifact Tài liệu compliance/audit
GuardDuty Phát hiện threat bằng ML
Inspector Scan vulnerability EC2/container
Config Lịch sử thay đổi cấu hình
Macie Phát hiện PII trong S3
Security Hub Tổng hợp findings nhiều account
Detective Điều tra root cause
IAM Access Analyzer Phát hiện access ngoài phạm vi