Tổng Quan Các Dịch Vụ Bảo Mật Trong AWS

Khi bạn di chuyển hệ thống lên điện toán đám mây, đặc biệt là nền tảng hàng đầu như Amazon Web Services (AWS), bạn sẽ sớm nhận ra rằng bảo mật không phải là tính năng “bật/tắt”, mà là một quá trình bạn phải hiểu và thiết lập đúng từ đầu.
Trong bài viết này, VnPro chia sẻ tổng quan nhanh nhưng đầy đủ các dịch vụ bảo mật chính mà AWS cung cấp—bao gồm các lớp bảo mật tích hợp sẵn và các công cụ nâng cao mà bạn có thể sử dụng để bảo vệ hệ thống của mình. Đây là kiến thức cốt lõi cho các bạn đang học MCSA, Azure, AWS, hoặc đang làm trong mảng cloud system & security.

---

1. Mô hình bảo mật phụ thuộc vào mô hình dịch vụ

• Khi dùng IaaS, bạn phải tự quản lý phần lớn bảo mật: từ cấu hình hệ điều hành, tường lửa, mạng ảo đến quyền truy cập.
• Khi dùng PaaS, một số phần như OS và runtime được AWS quản lý, nhưng bạn vẫn cần kiểm soát truy cập, mã hóa và bảo vệ dữ liệu.
• Với SaaS, trách nhiệm bảo mật được chuyển phần lớn cho nhà cung cấp.

👉 Dù ở mức nào, hiểu rõ các dịch vụ bảo mật AWS là bắt buộc.

---

2. Dịch vụ bảo mật cơ bản của AWS

• IAM (Identity & Access Management) – Dịch vụ quản lý người dùng và chính sách truy cập. Là câu trả lời đúng cho câu hỏi: "Dịch vụ AWS nào chịu trách nhiệm quản lý người dùng và chính sách?"
  👉 Đáp án đúng: Identity & Access Management (IAM)
• MFA (Multi-Factor Authentication) – Cần thiết cho giao diện điều khiển để tránh bị xâm nhập trái phép.
• CloudWatch – Dịch vụ giám sát hiệu suất, thu thập log và tạo cảnh báo dựa trên hoạt động hệ thống.
• CloudTrail – Ghi lại mọi hành động quản trị và thay đổi cấu hình, rất hữu ích cho kiểm toán bảo mật.

---

3. Dịch vụ mở rộng thêm tính năng bảo mật

• AWS Directory Service (DS) – Kết nối IAM với Active Directory hoặc LDAP hiện có.
• AWS Single Sign-On (SSO) – Cung cấp đăng nhập một lần giữa các tài khoản AWS và ứng dụng ngoài AWS.
• AWS Cognito – Dịch vụ xác thực cho ứng dụng, giúp bạn không cần tự viết hệ thống auth từ đầu.
• AWS Artifact – Cung cấp các báo cáo tuân thủ, kiểm toán và chứng nhận bảo mật miễn phí.
• Amazon Inspector – Kiểm tra hệ thống để xác định các điểm yếu và sai sót trong cấu hình bảo mật.
• AWS Certificate Manager – Quản lý chứng chỉ SSL/TLS để mã hóa lưu lượng.
• AWS Key Management Service (KMS) – Tạo và quản lý key mã hóa dữ liệu (AES, RSA, etc.).
• AWS CloudHSM – HSM (phần cứng bảo mật) dưới dạng dịch vụ, không cần tự quản lý phần cứng.
• Amazon Macie – Dùng machine learning để phát hiện dữ liệu nhạy cảm như PII trong Amazon S3.

---

4. Bảo mật mạng (Network Security)

• AWS WAF (Web Application Firewall) – Chống tấn công OWASP Top 10, như SQLi, XSS.
• AWS Shield – Bảo vệ khỏi tấn công từ chối dịch vụ (DDoS).
• Amazon GuardDuty – Phát hiện bất thường bằng ML, dựa trên hành vi bình thường trong tài khoản AWS. Có thể xem như “SIEM nhẹ” tích hợp sẵn.

---

Tips thực chiến

• Đừng bỏ qua CloudTrail và CloudWatch Logs, vì bạn sẽ cần chúng cho mọi hoạt động forensic và audit.
• Luôn bật MFA và gán quyền theo nguyên tắc tối thiểu (Least Privilege).
• Dùng S3 bucket policies và Macie khi lưu trữ dữ liệu nhạy cảm.
• Tích hợp IAM với AD hoặc SSO nếu triển khai AWS cho tổ chức.

---

Kết luận

Việc hiểu rõ các dịch vụ bảo mật của AWS sẽ giúp bạn không chỉ “bật đám mây lên chạy”, mà còn vận hành nó an toàn và bền vững. Nếu bạn đang học AWS hay chuẩn bị thi chứng chỉ, đừng chỉ học thuộc lệnh – hãy hiểu bản chất kiến trúc bảo mật này.