Tuân thủ và quản trị cho giải pháp AI
Compliance and Governance for AI Solutions
Tuân thủ (compliance) và quản trị (governance) bảo đảm giải pháp AI của bạn hoạt động đúng quy định, minh bạch và kiểm toán được. Phần này tập trung vào ai chịu trách nhiệm gì, cách lấy bằng chứng tuân thủ, và cách giám sát hoạt động hệ thống.
Mô hình trách nhiệm chung (Shared Responsibility Model)
Đây là khái niệm nền tảng nhất của bảo mật trên AWS:
- AWS chịu trách nhiệm bảo mật "của" đám mây (security OF the cloud): hạ tầng vật lý, phần cứng, trung tâm dữ liệu, mạng nền, và lớp ảo hóa.
- Khách hàng chịu trách nhiệm bảo mật "trong" đám mây (security IN the cloud): cấu hình IAM, mã hóa và quản lý khóa, bảo vệ dữ liệu của mình, vá lỗi hệ điều hành khách (nếu có), và thiết lập mạng.
Trọng tâm thi
Quy tắc nhớ: AWS = OF the cloud (hạ tầng). Khách hàng = IN the cloud (dữ liệu, IAM, mã hóa, cấu hình). Câu hỏi rất hay hỏi "ai chịu trách nhiệm bảo vệ dữ liệu khách hàng / cấu hình quyền truy cập?" → luôn là khách hàng.
Ranh giới trách nhiệm thay đổi tùy mức quản lý của dịch vụ. Với dịch vụ được quản lý hoàn toàn như Amazon Bedrock, AWS lo phần lớn hạ tầng và vận hành mô hình, nhưng khách hàng vẫn chịu trách nhiệm về dữ liệu, phân quyền IAM và cách sử dụng đầu ra.
Chương trình tuân thủ và AWS Artifact
AWS duy trì nhiều chương trình tuân thủ compliance programs (như SOC, ISO, PCI DSS, HIPAA, FedRAMP...) và được kiểm toán bởi bên thứ ba.
- AWS Artifact AWS Artifact là cổng tự phục vụ để tải các báo cáo tuân thủ và kiểm toán (audit reports) của AWS, ví dụ báo cáo SOC, chứng nhận ISO. Đây là nơi bạn lấy bằng chứng để chứng minh với kiểm toán viên rằng hạ tầng nền tuân thủ tiêu chuẩn.
Phân biệt nhanh
AWS Artifact = nơi lấy báo cáo/chứng nhận tuân thủ. Nó không cấu hình bảo mật và cũng không giám sát hệ thống của bạn — nó cung cấp tài liệu chứng minh.
Giám sát và kiểm toán: CloudTrail và CloudWatch
Hai dịch vụ giám sát quan trọng nhất bạn cần phân biệt rõ:
| Dịch vụ | Mục đích chính | Ví dụ trong AI |
|---|---|---|
| AWS CloudTrail | Ghi nhật ký lệnh gọi API (ai làm gì, khi nào, từ đâu) | Ghi lại ai đã gọi bedrock:InvokeModel, ai sửa cấu hình SageMaker |
| Amazon CloudWatch | Giám sát chỉ số (metrics), log vận hành, cảnh báo | Theo dõi độ trễ, số lần gọi mô hình, dựng cảnh báo khi lỗi tăng |
- AWS CloudTrail AWS CloudTrail trả lời câu hỏi "AI ĐÃ LÀM gì?" ở mức hành động trên tài khoản — phục vụ kiểm toán, điều tra sự cố bảo mật và truy vết trách nhiệm.
- Amazon CloudWatch Amazon CloudWatch trả lời câu hỏi "Hệ thống đang HOẠT ĐỘNG ra sao?" — phục vụ giám sát vận hành, hiệu năng và cảnh báo theo thời gian thực.
Trọng tâm thi
CloudTrail = nhật ký API/kiểm toán (audit trail). CloudWatch = metrics + log vận hành + alarm. Đừng nhầm hai dịch vụ này — đề thi rất hay đặt cạnh nhau làm phương án gây nhiễu.
Quản trị dữ liệu theo vòng đời (Data Governance)
Quản trị dữ liệu data governance là tập hợp chính sách bảo đảm dữ liệu được dùng đúng cách qua toàn bộ vòng đời:
- Thu thập (collection): chỉ thu thập dữ liệu cần thiết, có sự đồng thuận khi cần.
- Lưu trữ (storage): phân loại, mã hóa và kiểm soát truy cập (KMS, IAM).
- Sử dụng (use): bảo đảm dữ liệu huấn luyện đúng mục đích, theo dõi nguồn gốc (lineage).
- Lưu giữ và hủy (retention & deletion): đặt thời hạn lưu giữ và xóa an toàn khi hết hạn.
Quản trị dữ liệu tốt còn bao gồm truy xuất nguồn gốc dữ liệu (data lineage), kiểm soát chất lượng và phân loại độ nhạy cảm — nền tảng để mô hình AI công bằng và đáng tin.
Quản trị mô hình và tài liệu hóa (Model Governance)
Ngoài dữ liệu, bản thân mô hình cũng cần được quản trị:
- Tài liệu hóa mô hình: ghi lại mục đích, dữ liệu huấn luyện, giới hạn, và rủi ro đã biết của mô hình (ví dụ kiểu "model card").
- Theo dõi phiên bản: biết phiên bản mô hình nào đang chạy ở môi trường nào.
- Đánh giá định kỳ: kiểm tra thiên lệch (bias), độ chính xác và sự suy giảm (drift) theo thời gian.
Nhận thức về quy định: GDPR và HIPAA
Ở mức Practitioner, bạn cần nhận biết tên và phạm vi các quy định phổ biến:
- GDPR (General Data Protection Regulation): quy định bảo vệ dữ liệu cá nhân của EU; nhấn mạnh sự đồng thuận, quyền được xóa và minh bạch trong xử lý dữ liệu.
- HIPAA (Health Insurance Portability and Accountability Act): quy định của Mỹ về bảo vệ thông tin sức khỏe (PHI). Workload xử lý dữ liệu y tế cần dùng các dịch vụ AWS đủ điều kiện (HIPAA-eligible).
Mẹo
Bạn không cần thuộc chi tiết điều khoản pháp lý. Chỉ cần biết GDPR ≈ dữ liệu cá nhân EU, HIPAA ≈ dữ liệu sức khỏe ở Mỹ, và rằng tuân thủ là trách nhiệm chung giữa AWS (hạ tầng đủ điều kiện) và khách hàng (cấu hình và sử dụng đúng).
Tóm tắt
- Mô hình trách nhiệm chung: AWS bảo mật của đám mây (hạ tầng); khách hàng bảo mật trong đám mây (dữ liệu, IAM, mã hóa, cấu hình).
- AWS Artifact cung cấp báo cáo và chứng nhận tuân thủ để chứng minh với kiểm toán.
- CloudTrail ghi nhật ký lệnh gọi API (kiểm toán); CloudWatch giám sát metrics, log vận hành và cảnh báo.
- Quản trị dữ liệu trải dài toàn vòng đời; quản trị mô hình gồm tài liệu hóa, phiên bản và đánh giá định kỳ.
- GDPR ≈ dữ liệu cá nhân EU; HIPAA ≈ dữ liệu sức khỏe Mỹ — tuân thủ là trách nhiệm chung.