Các thực hành bảo mật tốt nhất của AWS là gì?

Question

Accepted Answer

Bảo mật AWS bao gồm nhiều lớp — **danh tính và truy cập (IAM)**, **bảo mật mạng**, **bảo vệ dữ liệu (mã hóa)**, **giám sát/phát hiện** và tuân theo **mô hình trách nhiệm chia sẻ**. Bảo mật là một kỷ luật then chốt, liên tục và là một pillar của Well-Architected.

## Mô hình trách nhiệm chia sẻ

```text
AWS secures the CLOUD (infrastructure: hardware, facilities, managed service internals).
YOU secure what's IN the cloud (your data, IAM, network config, OS patching on EC2,
  application security, access control).
→ Know the boundary: AWS handles infrastructure; YOU handle configuration and data.
  Most breaches are CUSTOMER misconfigurations (e.g. public S3 buckets), not AWS failures.
```

## Danh tính và truy cập

```text
✓ LEAST PRIVILEGE — grant only needed permissions (the most important IAM principle)
✓ Use ROLES (temporary credentials) not long-lived access keys; rotate any keys
✓ Protect the ROOT account (MFA, don't use it daily); enforce MFA broadly
✓ Use IAM properly; SCPs for org guardrails; audit with Access Analyzer
```

## Bảo mật mạng và bảo vệ dữ liệu

```text
NETWORK → VPC isolation; private subnets for backends; security groups (least access);
  don't expose resources publicly unnecessarily (databases in private subnets!)
DATA → ENCRYPT at rest (S3, EBS, RDS — often a checkbox) and in transit (TLS);
  manage keys (KMS); ⚠️ avoid public S3 buckets (a top cause of breaches);
  classify and protect sensitive data; manage secrets (Secrets Manager, not in code)
```

## Phát hiện và giám sát

```text
✓ CloudTrail → log ALL API activity (audit trail — who did what)
✓ GuardDuty → threat detection; Config → compliance/configuration auditing
✓ Security Hub → centralized security posture; CloudWatch alarms on suspicious activity
✓ Detect and respond to incidents; review regularly
```

## Tại sao điều này quan trọng

Hiểu các thực hành bảo mật tốt nhất của AWS là kiến thức cấp senior then chốt vì bảo mật là một mối quan tâm nền tảng, có rủi ro cao, và đám mây có các cân nhắc bảo mật cụ thể, nên nó thiết yếu để vận hành AWS có trách nhiệm.

Hiểu **mô hình trách nhiệm chia sẻ** là nền tảng: AWS bảo mật hạ tầng bên dưới, nhưng **bạn chịu trách nhiệm bảo mật dữ liệu, truy cập, cấu hình mạng và ứng dụng của mình** — và insight then chốt là **hầu hết các vụ rò rỉ bắt nguồn từ cấu hình sai của khách hàng** (như S3 buckets công khai hoặc quyền quá rộng), không phải lỗi hạ tầng AWS, nên biết trách nhiệm của mình là thiết yếu.

Mỗi lớp bảo mật đều quan trọng: **danh tính và truy cập** (đặc biệt là **least privilege** — nguyên tắc IAM quan trọng nhất — dùng roles thay vì khóa lâu dài, bảo vệ tài khoản root và thực thi MFA) ngăn ngừa các thất bại kiểm soát truy cập gây ra nhiều vụ rò rỉ; **bảo mật mạng** (VPC isolation, private subnets cho backends như cơ sở dữ liệu, security groups truy cập tối thiểu, không phơi bày tài nguyên công khai) bảo vệ các hệ thống ở lớp mạng; **bảo vệ dữ liệu** (mã hóa at rest và in transit, quản lý khóa, tránh S3 buckets công khai, quản lý secrets đúng cách) bảo vệ dữ liệu nhạy cảm; và **phát hiện và giám sát** (CloudTrail cho audit logging, GuardDuty cho phát hiện mối đe dọa, Config cho compliance, Security Hub) cho phép phát hiện và phản ứng với mối đe dọa.

Hiểu các thực hành phân lớp này — và rằng bảo mật là một kỷ luật liên tục giải quyết các thất bại thực tế phổ biến (cấu hình sai, quyền quá mức, phơi bày công khai, dữ liệu không mã hóa) — phản ánh tư duy bảo mật toàn diện cần thiết cho AWS production.

Vì bảo mật AWS có rủi ro cao (các vụ rò rỉ tốn kém và phổ biến, hầu hết từ cấu hình sai của khách hàng) và đòi hỏi phòng thủ phân lớp xuyên danh tính, mạng, dữ liệu và phát hiện, và vì hiểu mô hình trách nhiệm chia sẻ và các thực hành tốt nhất là thiết yếu để bảo mật hệ thống AWS, hiểu các thực hành bảo mật tốt nhất của AWS là kiến thức cấp senior then chốt để vận hành AWS có trách nhiệm — một lĩnh vực ưu tiên cao nơi hiểu các thực hành (đặc biệt là least privilege, tránh phơi bày công khai, mã hóa và giám sát) trực tiếp ngăn ngừa các thất bại bảo mật thực tế, phổ biến dẫn đến rò rỉ, phản ánh trách nhiệm bảo mật được kỳ vọng cho các vai trò cloud senior.