Tuân thủ và quản trị
Compliance and Governance
Tuân thủ trên đám mây nghĩa là gì?
Tuân thủ Compliance là việc đáp ứng các yêu cầu của luật pháp, quy định ngành và tiêu chuẩn bảo mật. Trên AWS, tuân thủ là trách nhiệm chung: AWS chứng nhận tuân thủ cho phần hạ tầng của mình, còn khách hàng phải đảm bảo cách họ dùng AWS cũng tuân thủ. Bài học này giới thiệu các công cụ và chương trình giúp đạt và chứng minh tuân thủ.
AWS Artifact - Kho báo cáo tuân thủ
AWS Artifact AWS Artifact là cổng tự phục vụ để tải xuống các báo cáo tuân thủ và thỏa thuận của AWS. Khi kiểm toán viên (auditor) yêu cầu bằng chứng rằng hạ tầng bạn đang dùng đạt một tiêu chuẩn nào đó, bạn vào Artifact để lấy các tài liệu như báo cáo SOC, chứng nhận ISO, chứng thực PCI DSS. Artifact miễn phí và là nguồn chính thức cho các tài liệu này.
Trọng tâm thi
Nếu câu hỏi nói về việc "tải báo cáo tuân thủ của AWS để cung cấp cho kiểm toán viên", đáp án là AWS Artifact. Đừng nhầm với Config (theo dõi cấu hình) hay Trusted Advisor (kiểm tra thực hành tốt).
Các chương trình tuân thủ của AWS
AWS được chứng nhận theo hàng loạt chương trình tuân thủ quốc tế và theo ngành. Bạn không cần học thuộc chi tiết, chỉ cần nhận ra chúng:
| Chương trình | Lĩnh vực áp dụng |
|---|---|
| SOC 1/2/3 | Kiểm soát của tổ chức dịch vụ (báo cáo kiểm toán) |
| ISO 27001 | Tiêu chuẩn quốc tế về quản lý an toàn thông tin |
| PCI DSS | Bảo mật dữ liệu thẻ thanh toán |
| HIPAA | Bảo vệ thông tin y tế tại Hoa Kỳ |
| GDPR | Bảo vệ dữ liệu cá nhân tại Liên minh châu Âu |
| FedRAMP | Tuân thủ cho cơ quan chính phủ Hoa Kỳ |
Ghi chú
Việc AWS "đủ điều kiện HIPAA" (HIPAA-eligible) không tự động làm ứng dụng của bạn tuân thủ HIPAA. Bạn vẫn phải cấu hình và sử dụng các dịch vụ đúng cách — lại là mô hình trách nhiệm chung.
AWS Trusted Advisor
AWS Trusted Advisor AWS Trusted Advisor là công cụ kiểm tra môi trường AWS của bạn theo các thực hành tốt nhất (best practices) và đưa ra khuyến nghị. Trusted Advisor đánh giá trên năm trụ cột:
- Cost Optimization (tối ưu chi phí) — ví dụ phát hiện tài nguyên nhàn rỗi.
- Performance (hiệu năng).
- Security (bảo mật) — ví dụ cảnh báo S3 bucket công khai, MFA chưa bật cho root.
- Fault Tolerance (khả năng chịu lỗi).
- Service Limits (giới hạn dịch vụ).
Một số kiểm tra có sẵn cho mọi khách hàng; bộ kiểm tra đầy đủ yêu cầu gói hỗ trợ Business hoặc Enterprise.
Mẹo
Phân biệt nhanh: Trusted Advisor kiểm tra thực hành tốt nhất trên nhiều mảng (chi phí, bảo mật...). AWS Config theo dõi và đánh giá cấu hình tài nguyên. Security Hub tổng hợp phát hiện bảo mật. Trusted Advisor là dịch vụ duy nhất bao quát cả khía cạnh chi phí.
AWS Acceptable Use Policy
Chính sách Sử dụng được Chấp nhận (AUP) AWS Acceptable Use Policy mô tả các hành vi bị cấm khi dùng dịch vụ AWS — ví dụ sử dụng vào mục đích bất hợp pháp, phát tán mã độc, gửi thư rác, hay tấn công hệ thống khác. Mọi khách hàng phải tuân thủ AUP; vi phạm có thể dẫn đến đình chỉ dịch vụ.
AWS Organizations và SCPs cho quản trị
AWS Organizations AWS Organizations cho phép quản lý tập trung nhiều tài khoản AWS dưới một tổ chức. Lợi ích chính:
- Gộp thanh toán (consolidated billing): một hóa đơn cho toàn bộ tài khoản, và được giảm giá theo khối lượng dùng chung.
- Tổ chức tài khoản theo nhóm: dùng các đơn vị tổ chức (OU) Organizational Units (OUs) để gom tài khoản theo phòng ban hay môi trường.
- Quản trị tập trung qua chính sách.
Chính sách Kiểm soát Dịch vụ (SCP) Service Control Policies (SCPs) là một loại policy áp ở cấp tổ chức/OU để đặt giới hạn quyền tối đa cho các tài khoản con. Điểm quan trọng:
- SCP không cấp quyền; nó chỉ định ranh giới quyền (guardrail) mà tài khoản con không thể vượt qua.
- Ngay cả root user của tài khoản con cũng bị giới hạn bởi SCP.
- Ví dụ: dùng SCP để chặn mọi tài khoản trong một OU sử dụng các Region không được phép.
Ghi chú
SCP và IAM policy bổ trợ nhau: SCP đặt trần quyền ở cấp tổ chức, còn IAM policy cấp quyền cụ thể trong từng tài khoản. Quyền thực tế là phần giao của cả hai — phải được cả SCP cho phép và IAM policy cấp.
Tóm tắt
- AWS Artifact: tải các báo cáo tuân thủ chính thức (SOC, ISO, PCI DSS) cho kiểm toán.
- AWS có nhiều chương trình tuân thủ (SOC, ISO 27001, PCI DSS, HIPAA, GDPR, FedRAMP); tuân thủ ứng dụng vẫn là trách nhiệm khách hàng.
- Trusted Advisor: kiểm tra thực hành tốt nhất trên 5 trụ cột (chi phí, hiệu năng, bảo mật, chịu lỗi, giới hạn dịch vụ).
- Acceptable Use Policy cấm các hành vi lạm dụng dịch vụ.
- AWS Organizations quản lý nhiều tài khoản + gộp thanh toán; SCPs đặt trần quyền tối đa cho tài khoản con (không cấp quyền).