Các dịch vụ bảo mật chính của AWS
Key AWS Security Services
Vì sao cần biết các dịch vụ này?
Một dạng câu hỏi rất phổ biến trong CLF-C02 là "khớp một nhu cầu với đúng dịch vụ bảo mật". Bạn không cần biết cấu hình chi tiết, nhưng phải nắm chắc mỗi dịch vụ giải quyết vấn đề gì. Dưới đây là bảng tra cứu cốt lõi, sau đó là giải thích từng nhóm.
Bảng tra cứu: dịch vụ → mục đích
| Dịch vụ | Mục đích chính |
|---|---|
| AWS Shield AWS Shield | Bảo vệ chống tấn công từ chối dịch vụ phân tán (DDoS) DDoS |
| AWS WAF AWS WAF | Tường lửa ứng dụng web; lọc lưu lượng HTTP độc hại (SQL injection, XSS) |
| Amazon GuardDuty Amazon GuardDuty | Phát hiện mối đe dọa thông minh qua phân tích log |
| Amazon Inspector Amazon Inspector | Quét lỗ hổng tự động cho EC2, container, Lambda |
| Amazon Macie Amazon Macie | Phát hiện dữ liệu nhạy cảm (PII) trong S3 bằng máy học |
| AWS KMS AWS KMS | Tạo và quản lý khóa mã hóa (managed) |
| AWS CloudHSM AWS CloudHSM | Module bảo mật phần cứng chuyên dụng cho khóa mã hóa |
| AWS Secrets Manager AWS Secrets Manager | Lưu trữ và tự động xoay vòng bí mật (mật khẩu, API key) |
| AWS Config AWS Config | Theo dõi cấu hình tài nguyên và đánh giá tuân thủ theo thời gian |
| AWS CloudTrail AWS CloudTrail | Ghi lại ai đã gọi API nào (nhật ký kiểm toán) |
| Amazon CloudWatch Amazon CloudWatch | Giám sát chỉ số, log, cảnh báo về hiệu năng/vận hành |
| AWS Security Hub AWS Security Hub | Tổng hợp tập trung phát hiện bảo mật từ nhiều dịch vụ |
Bảo vệ ở rìa mạng: Shield & WAF
- AWS Shield bảo vệ chống DDoS. Mức Shield Standard được bật tự động và miễn phí cho mọi khách hàng; Shield Advanced trả phí, cho bảo vệ nâng cao và hỗ trợ ứng phó.
- AWS WAF là tường lửa cho lớp ứng dụng web (Layer 7). Bạn tạo các quy tắc (rules) để chặn các mẫu tấn công như SQL injection và cross-site scripting (XSS), hoặc chặn theo IP/quốc gia.
Mẹo
Phân biệt: Shield = chống DDoS (làm ngập lưu lượng). WAF = lọc các yêu cầu web độc hại theo nội dung. Cả hai thường dùng cùng CloudFront và Application Load Balancer.
Phát hiện và đánh giá: GuardDuty, Inspector, Macie
- GuardDuty: dịch vụ phát hiện mối đe dọa liên tục, phân tích các nguồn log (VPC Flow Logs, CloudTrail, DNS) để tìm hành vi bất thường — ví dụ EC2 liên lạc với máy chủ điều khiển độc hại.
- Inspector: quét lỗ hổng (vulnerability) tự động trên EC2, image container trong ECR, và Lambda, đối chiếu với cơ sở dữ liệu lỗ hổng đã biết (CVE).
- Macie: dùng máy học để phát hiện dữ liệu nhạy cảm, đặc biệt là thông tin định danh cá nhân (PII PII), nằm trong các bucket Amazon S3.
Trọng tâm thi
Ba dịch vụ dễ nhầm: GuardDuty = phát hiện mối đe dọa/hành vi xấu từ log. Inspector = tìm lỗ hổng phần mềm cần vá. Macie = tìm dữ liệu nhạy cảm (PII) trong S3. Hãy đọc kỹ câu hỏi đang nói về threat, vulnerability hay sensitive data.
Quản lý khóa và bí mật: KMS, CloudHSM, Secrets Manager
- AWS KMS (Key Management Service): tạo, lưu trữ và quản lý khóa mã hóa một cách tập trung, tích hợp sẵn với hầu hết dịch vụ AWS (S3, EBS, RDS...). Đây là lựa chọn mặc định cho quản lý khóa.
- AWS CloudHSM: cung cấp module bảo mật phần cứng (HSM) chuyên dụng, đơn-khách-thuê, dùng khi yêu cầu tuân thủ đòi hỏi bạn kiểm soát hoàn toàn khóa trong phần cứng được chứng nhận.
- AWS Secrets Manager: lưu trữ an toàn các bí mật như mật khẩu cơ sở dữ liệu, API key, và tự động xoay vòng (rotate) chúng theo lịch — điểm khác biệt chính so với chỉ lưu khóa.
Kiểm toán, giám sát, tuân thủ: CloudTrail, CloudWatch, Config
Đây là bộ ba hay bị nhầm lẫn nhất:
- CloudTrail trả lời "Ai đã làm gì?" — ghi lại mọi lệnh gọi API (ai, khi nào, từ đâu). Phục vụ kiểm toán và điều tra bảo mật.
- CloudWatch trả lời "Hệ thống đang chạy thế nào?" — thu thập chỉ số (CPU, bộ nhớ), log ứng dụng, và kích hoạt cảnh báo (alarms).
- Config trả lời "Cấu hình tài nguyên có đúng chuẩn không, và đã thay đổi ra sao?" — theo dõi lịch sử cấu hình và đánh giá tuân thủ với các quy tắc.
Ghi chú
Cách nhớ nhanh: CloudTrail = nhật ký hành động (API); CloudWatch = giám sát hiệu năng/vận hành; Config = trạng thái & lịch sử cấu hình.
Tổng hợp: Security Hub
AWS Security Hub đóng vai trò bảng điều khiển trung tâm, thu thập và tổng hợp các phát hiện bảo mật từ GuardDuty, Inspector, Macie và các dịch vụ khác vào một nơi, đối chiếu với các tiêu chuẩn bảo mật. Nó giúp đội bảo mật có cái nhìn toàn cảnh thay vì kiểm tra từng dịch vụ riêng lẻ.
Mã hóa: at rest và in transit
Mã hóa bảo vệ dữ liệu ở hai trạng thái:
- Mã hóa khi lưu trữ (at rest): bảo vệ dữ liệu đang nằm trên đĩa/lưu trữ (ví dụ dữ liệu trong S3, EBS, RDS). Thường dùng khóa từ KMS.
- Mã hóa khi truyền (in transit): bảo vệ dữ liệu đang di chuyển trên mạng, thường qua TLS/SSL (ví dụ HTTPS).
Một hệ thống an toàn nên bật cả hai. Việc bật mã hóa thuộc trách nhiệm của khách hàng (nhớ lại mô hình trách nhiệm chung).
Tóm tắt
- Rìa mạng: Shield (DDoS), WAF (lọc web Layer 7).
- Phát hiện/đánh giá: GuardDuty (mối đe dọa), Inspector (lỗ hổng), Macie (PII trong S3).
- Khóa & bí mật: KMS (quản lý khóa), CloudHSM (HSM phần cứng), Secrets Manager (lưu + xoay vòng bí mật).
- Kiểm toán/giám sát: CloudTrail (ai gọi API), CloudWatch (chỉ số/log), Config (cấu hình & tuân thủ).
- Security Hub tổng hợp phát hiện bảo mật tập trung.
- Bật mã hóa at rest (đĩa) và in transit (TLS) — là trách nhiệm của khách hàng.