🚀 TỔNG HỢP KIẾN THỨC AWS SECURITY – ENCRYPTION, KMS, SECRETS, CERTIFICATES, WAF, DDoS, GUARD DUTY…

Để xây dựng hệ thống AWS an toàn, quản lý mã hóa và bảo vệ dữ liệu là bắt buộc. Phần này tổng hợp toàn bộ nội dung về Encryption, KMS, Parameter Store, Secrets Manager, TLS Certificates, WAF, Shield, Firewall Manager, DDoS Best Practices, GuardDuty, Inspector, Macie.

🌟 1. Vì sao phải mã hóa? (Encryption)

Trong AWS, dữ liệu có thể bị tấn công ở hai thời điểm: khi truyền đi và khi lưu trữ. Vì vậy AWS hỗ trợ: 🔹 1. Mã hóa trong quá trình truyền (Encryption in-flight / SSL/TLS)

Dữ liệu được mã hóa trước khi gửi và giải mã sau khi nhận.

• Sử dụng chứng chỉ SSL/TLS → kết nối HTTPS.
• Ngăn chặn tấn công Man-in-the-Middle.

🔹 2. Mã hóa phía server – Server-side Encryption (At Rest)

• AWS nhận dữ liệu → mã hóa bằng Data Key → lưu trữ dạng mã hóa.
• Khi đọc dữ liệu → AWS tự giải mã trước khi gửi cho client.
• Các dịch vụ như S3, EBS, RDS… đều hỗ trợ với AWS KMS.

🔹 3. Mã hóa phía client – Client-side Encryption

• Client tự mã hóa trước khi gửi lên AWS.
• Server không thể giải mã.
• Phù hợp khi cần bảo vệ tuyệt đối, kể cả admin AWS cũng không thấy dữ liệu.

🌟 2. AWS KMS – Key Management Service

AWS KMS là dịch vụ cốt lõi cho mọi thao tác mã hóa. 🔹 Công dụng:

• Tạo và quản lý khóa mã hóa.
• Tích hợp sâu với IAM.
• Audit qua CloudTrail.
• Hỗ trợ hầu hết dịch vụ AWS.
• API cho phép dùng KMS trong code, CLI, SDK.

🔹 Các loại khóa trong KMS:

1. Khóa đối xứng (AES-256)
2. • Dùng chung 1 khóa để mã hóa & giải mã.
   • Dùng cho hầu hết dịch vụ AWS.
   • Không thể xem dưới dạng plaintext.
3. Khóa bất đối xứng (RSA/ECC)
4. • Public Key dùng mã hóa hoặc verify.
   • Private Key dùng giải mã hoặc sign.
   • Public Key có thể tải về, private thì không.

🔹 Loại khóa theo quản lý:

• AWS Managed Key – miễn phí.
• Customer Managed Key (CMK) – $1/tháng + phí API.
• Imported Key – bạn tự import khóa.

🔹 Xoay vòng Key (Rotation)

• AWS Managed: tự xoay mỗi năm.
• Customer Managed: bật rotation tự động.
• Imported Key: chỉ xoay thủ công.

🌟 3. Sao chép Snapshot giữa Region / Account

Giữa Region:

• Snapshot giữ nguyên mã hóa bằng KMS.
• Cần khóa tương ứng từng Region.

Giữa Account:

1. Tạo snapshot mã hóa.
2. Chia sẻ KMS Key bằng Key Policy.
3. Share snapshot.
4. Tài khoản đích copy và mã hóa bằng key của họ.
5. Tạo volume từ snapshot mới.

🌟 4. KMS Multi-Region Keys


Khóa Multi-Region giúp sử dụng cùng 1 tài liệu mã hóa tại nhiều Region.

• Có 1 Primary Key và nhiều Replica Keys.
• Có cùng key material, key ID.
• Encrypt ở Region A → Decrypt Region B mà không cần re-encrypt.
• Dùng cho Global DynamoDB, Aurora Global, Client-side encryption toàn cầu.

🌟 5. Client-side Encryption cho DynamoDB & Aurora

DynamoDB:

• Mã hóa thuộc tính trước khi gửi.
• Global Table replicate dữ liệu đã mã hóa.
• Client giải mã bằng KMS Multi-Region Key tương ứng Region.

Aurora:

• Tương tự DynamoDB nhưng dùng AWS Encryption SDK.
• Bảo vệ ngay cả với DB Admin.

🌟 6. S3 Replication & Encryption

• Mặc định replicate object không mã hóa hoặc mã hóa SSE-S3.
• SSE-C không replicate.
• Với SSE-KMS cần:
• • Bật tùy chọn replicate KMS
  • IAM Role có quyền decrypt nguồn & encrypt đích
  • Chỉnh Key Policy
• Multi-Region Keys không phải global → vẫn decrypt rồi encrypt.

🌟 7. Chia sẻ AMI mã hóa bằng KMS


Quy trình:

1. AMI được mã hóa bằng KMS của Account A.
2. Thêm Launch Permission cho Account B.
3. Share KMS Key trong snapshot.
4. Account B cần quyền describe, decrypt, re-encrypt.
5. Khi launch có thể chọn key mới.

🌟 8. SSM Parameter Store


Dùng để lưu:

• Cấu hình
• Secrets (tùy chọn mã hóa bằng KMS)

Tính năng:

• Hoàn toàn serverless.
• Versioning.
• IAM-based Access Control.
• Gửi EventBridge khi thay đổi.
• Hỗ trợ truy vấn theo cấu trúc thư mục.

Hai cấp độ parameter:

• Standard – miễn phí, tối đa 10k params
• Advanced – nhiều tính năng hơn, có phí

Parameter Policies:

• Tự động xóa
• Thông báo hết hạn
• Cảnh báo không thay đổi

🌟 9. Secrets Manager

• Dùng chuyên cho storage secrets.
• Tự động rotate secrets qua Lambda.
• Tích hợp trực tiếp RDS.
• Hỗ trợ Multi-Region Secrets.

🌟 10. AWS Certificate Manager (ACM)


ACM cung cấp:

• Tạo & quản lý chứng chỉ TLS.
• Free cho public certificate.
• Tự động renew.
• Tích hợp với:
• • ALB
  • CloudFront
  • API Gateway

Request Certificate:

• Nhập domain.
• Xác thực qua DNS hoặc Email (DNS ưu tiên).
• ACM tự auto-renew.

Import Certificate:

• Không tự renew.
• 45 ngày trước khi hết hạn ACM sẽ gửi sự kiện.

🌟 11. WAF – Web Application Firewall


Bảo vệ Layer 7:

• SQL Injection
• XSS
• Bad Bots
• Geo-block
• Rate-based (chống DDoS layer 7)

Triển khai trên:

• ALB
• API Gateway
• CloudFront
• AppSync
• Cognito Pool

🌟 12. AWS Shield – Chống DDoS


Dạng bảo vệ: Shield Standard (miễn phí)

• Chống SYN/UDP Floods
• Tự động bật cho mọi account

Shield Advanced ($3000/tháng)

• Bảo vệ thêm ALB, CloudFront, EIP, NLB
• 24/7 DDoS Response Team
• Giảm chi phí spike vì DDoS
• Tự động tạo rule WAF chống layer 7

🌟 13. AWS Firewall Manager

• Quản lý WAF, Shield, Network Firewall, SG Rule ở mức Organization.
• Áp chính sách tự động cho tài khoản mới.

🌟 14. Best Practices chống DDoS

Tại Edge:

• CloudFront
• Global Accelerator
• Route 53

Ở Infrastructure:

• Auto Scaling
• Load Balancer
• EC2 Fleet

Ở Application Layer:

• WAF
• CloudFront cache
• Rate-limit, geo-block

🌟 15. Amazon GuardDuty


Phát hiện nguy cơ bảo mật tự động:

• CloudTrail Logs
• DNS Logs
• VPC Flow Logs
• EKS Audit Logs

Tạo cảnh báo khi:

• API bất thường
• Truy cập dữ liệu trái phép
• Botnet / Crypto Mining
• Lateral movement

🌟 16. Amazon Inspector


Quét lỗ hổng bảo mật:

• EC2
• ECR Container Images
• Lambda Functions

Tự động đánh giá CVE & network reachability.


🌟 17. Amazon Macie


Phát hiện dữ liệu nhạy cảm trong S3:

• PII
• Thông tin cá nhân
• Tài liệu nhạy cảm

Dùng machine learning và pattern matching.
​