Tổng quan về các Dịch vụ Bảo mật trong AWS

Khi triển khai hệ thống trên đám mây AWS, bảo mật là yếu tố không thể bỏ qua. AWS cung cấp rất nhiều dịch vụ bảo mật từ cơ bản đến nâng cao. Dưới đây là những thành phần cốt lõi và quan trọng nhất, dành cho anh em đang làm việc hoặc học tập trong lĩnh vực hệ thống – ảo hóa – cloud.
1. Quản lý người dùng và phân quyền – IAM

Dịch vụ Identity & Access Management (IAM) cho phép bạn:

• Tạo người dùng và nhóm người dùng
• Gán chính sách quyền truy cập (Allow/Deny) trên từng user hoặc group
• Quản lý các khóa truy cập dùng cho CLI và API
• Kết hợp xác thực đa yếu tố (MFA) để tăng tính bảo mật

Đối với các doanh nghiệp lớn có nhiều tài khoản AWS, AWS Organizations cho phép quản lý tập trung các tài khoản, tích hợp thanh toán và kiểm soát truy cập giữa các team.
2. Giám sát và ghi nhận hoạt động – CloudWatch & CloudTrail

• CloudWatch: Giám sát hiệu năng, gửi cảnh báo khi có bất thường
• CloudTrail: Ghi lại toàn bộ hành vi và thay đổi cấu hình trong tài khoản AWS – cực kỳ hữu ích khi điều tra bảo mật

Đây là bộ đôi không thể thiếu cho việc audit, giám sát và phát hiện hành vi bất thường.
3. Xác thực nâng cao – DS, SSO, Cognito

• AWS Directory Services: Kết nối với Active Directory (hoặc LDAP khác) cho môi trường Hybrid
• AWS SSO: Đăng nhập một lần (Single Sign-On) giữa các tài khoản AWS hoặc giữa AWS và các ứng dụng SaaS
• AWS Cognito: Cung cấp dịch vụ xác thực người dùng cho các ứng dụng web/mobile – thay vì phải tự xây dựng hệ thống đăng nhập

4. Quản lý chứng chỉ và khóa mã hóa – ACM, KMS, CloudHSM

• AWS Certificate Manager (ACM): Quản lý và triển khai chứng chỉ SSL/TLS
• AWS Key Management Service (KMS): Tạo và bảo vệ khóa mã hóa dùng trong nhiều dịch vụ AWS
• AWS CloudHSM: HSM dạng dịch vụ – bảo mật khóa mã hóa trong phần cứng chuyên dụng

5. Phát hiện và bảo vệ dữ liệu nhạy cảm – Amazon Macie

Dịch vụ này sử dụng Machine Learning để phát hiện dữ liệu nhạy cảm trong S3 (như số CMND, email, mã số thuế, tài sản trí tuệ) và gửi cảnh báo nếu cần bảo vệ.
6. Các dịch vụ bảo mật mạng

• AWS WAF: Tường lửa ứng dụng web (Web Application Firewall)
• AWS Shield: Bảo vệ chống DDoS
• Amazon GuardDuty: Dò tìm hành vi bất thường và cảnh báo nguy cơ tấn công dựa trên hành vi mạng

7. Tuân thủ và đánh giá bảo mật

• AWS Artifact: Cung cấp các tài liệu, báo cáo liên quan đến tuân thủ và audit (PCI, ISO, SOC…)
• Amazon Inspector: Kiểm tra cấu hình hệ thống, phát hiện các lỗ hổng bảo mật theo best practices

---

Câu hỏi Ôn tập (dành cho người mới) A. Amazon Inspector
B. Amazon CloudWatch
C. Amazon GuardDuty
D. AWS Identity & Access Management (IAM)
E. AWS Key Management Service (KMS)
✅ Đáp án đúng: D – IAM

---

Kết luận

Nếu bạn mới bắt đầu với AWS hoặc đang chuẩn bị học các chứng chỉ như AWS Certified Solutions Architect hay AWS Security Specialty, thì việc nắm vững các dịch vụ bảo mật là nền tảng không thể thiếu.
AWS không chỉ cung cấp hạ tầng, mà còn mang đến một bộ công cụ bảo mật toàn diện để bạn thiết kế và vận hành hệ thống an toàn – theo nguyên tắc shared responsibility model.

---

vnpro AWS #CloudSecurity #IAM #GuardDuty #AWSArchitect MCSA AZURE #AWSVnPro #CloudWatch #DevSecOps secops #SOC #KMS #CloudHSM #WAF #SSO #DS #Cognito