Bảo Mật cho AWS Cloud

Khóa học “Bảo Mật cho AWS Cloud” cung cấp kiến thức toàn diện và chuyên sâu để bạn làm chủ việc thiết kế, triển khai và vận hành các hệ thống an toàn trên nền tảng AWS. Chương trình tập trung vào các kỹ năng thực chiến, từ việc xây dựng chiến lược quản lý định danh và truy cập ở quy mô lớn đến việc mã hóa dữ liệu và bảo vệ hạ tầng mạng một cách vững chắc.

Thông qua các bài thực hành theo kịch bản thực tế, học viên sẽ thành thạo bộ công cụ bảo mật của AWS. Bạn sẽ học cách chủ động phát hiện, điều tra và ứng phó với các mối đe dọa an ninh, đồng thời tự động hóa việc giám sát và đảm bảo tuân thủ (compliance) trong môi trường cloud.

Sau khóa học, bạn không chỉ có đủ năng lực để bảo vệ các kiến trúc phức tạp như container hay serverless mà còn được trang bị nền tảng vững chắc để chinh phục chứng chỉ AWS Certified Security – Specialty, khẳng định vị thế chuyên gia bảo mật đám mây.

Thời lượng: 15h

KẾT QUẢ ĐẠT ĐƯỢC

Quản lý Định danh & Truy cập Tập trung

Thiết kế và triển khai chiến lược phân quyền an toàn, hiệu quả trên quy mô lớn bằng IAM, AWS Organizations và SSO.

Xây dựng Vành đai Phòng thủ & Bảo vệ Dữ liệu

Thiết kế hạ tầng mạng an toàn, chống tấn công DDoS, và mã hóa toàn diện dữ liệu ở mọi trạng thái bằng VPC, WAF, Shield và KMS.

Chủ động Phát hiện & Ứng phó Sự cố

Triển khai và vận hành hệ thống tự động phát hiện, điều tra và ứng phó kịp thời các mối đe dọa an ninh bằng GuardDuty, Security Hub và Detective.

Tự động hóa Bảo mật & Đảm bảo Tuân thủ (DevSecOps)

Tích hợp bảo mật vào quy trình CI/CD, tự động quét lỗ hổng và kiểm tra cấu hình để đảm bảo tuân thủ liên tục với Config và Inspector.

Thiết kế & Bảo vệ Kiến trúc Hiện đại

Áp dụng các nguyên tắc bảo mật tốt nhất để bảo vệ an toàn cho các ứng dụng Serverless, Container theo AWS Well-Architected Framework.

Yêu cầu tiên quyết:

    • Đã sở hữu chứng chỉ AWS Solutions Architect – Associate hoặc có kiến thức tương đương.
    • Sử dụng thành thạo giao diện dòng lệnh (CLI).

Nội dung khóa học

1. Nền tảng Bảo mật & Quản trị Tập trung
    • Mô hình Chia sẻ Trách nhiệm (Shared Responsibility Model):
      • Ôn tập và phân định rõ trách nhiệm bảo mật của AWS và người dùng.
      • Các kịch bản thực tế và ví dụ.
    • Quản lý môi trường đa tài khoản với AWS Organizations:
      • Cấu trúc và lợi ích của Organization Units (OUs).
      • Thiết lập và thực thi các chính sách kiểm soát dịch vụ (Service Control Policies – SCPs).
    • Thiết lập Landing Zone với AWS Control Tower:
      • Kiến trúc và các thành phần cốt lõi của Landing Zone.
      • Triển khai môi trường đa tài khoản an toàn và tuân thủ theo chuẩn.
    • Quản lý định danh liên kết và tập trung:
      • Tích hợp AWS SSO với các nhà cung cấp định danh (IdP).
      • Tổng quan về AWS Directory Services (ví dụ: Managed Microsoft AD).
2. Quản lý Định danh và Truy cập Nâng cao (IAM)
    • Chuyên sâu về IAM Policy:
      • Sử dụng Permissions Boundaries để giới hạn quyền tối đa.
      • Xây dựng các điều kiện (Conditions) phức tạp trong policy.
      • Phân tích các kịch bản IAM Policy nâng cao.
    • Phân tích và tối ưu quyền truy cập:
      • Sử dụng IAM Access Analyzer để phát hiện các quyền truy cập không cần thiết từ bên ngoài.
      • Các chiến lược để đạt được nguyên tắc đặc quyền tối thiểu (Least Privilege).
    • Thực hành truy cập liên tài khoản (Cross-Account Access):
      • Cấu hình và sử dụng IAM Roles cho các kịch bản cross-account.
      • Các phương pháp an toàn khi chia sẻ tài nguyên giữa các tài khoản AWS.
3. Bảo mật Hạ tầng Mạng và Vành đai Phòng thủ
    • Thiết kế kiến trúc VPC an toàn:
      • Chiến lược phân tách mạng với public/private subnets, NACLs và Security Groups.
      • Bảo mật kết nối với VPC Gateway và Interface Endpoints.
    • Phòng chống tấn công ứng dụng web với AWS WAF:
      • Kiến trúc và cách hoạt động của WAF.
      • Viết và quản lý các rule tùy chỉnh để chống SQL Injection, XSS.
      • Sử dụng các bộ rule được quản lý (Managed Rule Sets).
    • Chống tấn công DDoS với AWS Shield:
      • So sánh tính năng của Shield Standard và Shield Advanced.
      • Cấu hình và ứng phó tấn công DDoS Layer 3, 4, 7.
    • Quản lý bảo mật tập trung với AWS Firewall Manager:
      • Tự động triển khai và quản lý các rule WAF và Security Group trên toàn tổ
4. Mã hóa và Bảo vệ Dữ liệu Toàn diện
    • Quản lý vòng đời khóa với AWS KMS:
      • Phân biệt các loại khóa (CMK), Envelope Encryption.
      • Xây dựng và quản lý Key Policy để kiểm soát truy cập khóa.
      • Tích hợp KMS với các dịch vụ AWS khác.
    • Mã hóa dữ liệu khi lưu trữ (at-rest):
      • Cấu hình mã hóa phía máy chủ (Server-Side Encryption) cho S3.
      • Mã hóa ổ cứng EBS, cơ sở dữ liệu RDS và DynamoDB.
    • Mã hóa dữ liệu khi truyền (in-transit):
      • Quản lý và triển khai chứng chỉ SSL/TLS với AWS Certificate Manager (ACM).
      • Bắt buộc sử dụng HTTPS cho CloudFront và Application Load Balancer.
    • Tự động phát hiện dữ liệu nhạy cảm với Amazon Macie:
      • Cấu hình Macie để quét và phân loại dữ liệu định danh cá nhân (PII) trong S3.
5. Phát hiện, Điều tra và Ứng phó Sự cố An ninh
    • Phát hiện mối đe dọa thông minh với Amazon GuardDuty:
      • Cách GuardDuty phân tích log (CloudTrail, VPC Flow Logs, DNS logs).
      • Nhận diện và phân tích các loại phát hiện (findings) phổ biến.
    • Tổng hợp cảnh báo với AWS Security Hub:
      • Tập trung hóa các cảnh báo từ GuardDuty, Inspector, Macie và các dịch vụ đối tác.
      • Kiểm tra tuân thủ theo các tiêu chuẩn bảo mật (CIS, PCI DSS).
    • Điều tra nguyên nhân gốc rễ với Amazon Detective:
      • Cách Detective xây dựng biểu đồ hành vi (behavior graph).
      • Trực quan hóa và phân tích dữ liệu để điều tra các sự cố bảo mật.
    • Thực hành kịch bản ứng phó sự cố (Incident Response):
      • Các bước cô lập một máy chủ EC2 bị xâm nhập.
      • Tự động hóa hành động ứng phó bằng Lambda và EventBridge.
6. Tự động hóa Bảo mật, Giám sát và Tuân thủ (DevSecOps)
    • Giám sát và ghi log toàn diện:
      • Phân tích các lệnh gọi API với AWS CloudTrail và CloudTrail Insights.
      • Giám sát và phân tích lưu lượng mạng với VPC Flow Logs.
      • Xây dựng truy vấn phân tích log tập trung bằng Amazon Athena.
    • Theo dõi và tự động khắc phục cấu hình với AWS Config:
      • Triển khai các rule để phát hiện các tài nguyên không tuân thủ.
      • Sử dụng AWS Systems Manager Automation để tự động khắc phục sai lệch.
    • Quét lỗ hổng tự động với Amazon Inspector:
      • Cấu hình Inspector để liên tục quét lỗ hổng trên EC2 và image container (ECR).
    • Quản lý thông tin nhạy cảm với Secrets Manager & Parameter Store:
      • Lưu trữ và xoay vòng (rotate) tự động credentials, API keys.
      • Tích hợp an toàn với ứng dụng và pipeline CI/CD.
7. Bảo mật cho các Kiến trúc Hiện đại
    • Bảo mật cho kiến trúc Serverless:
      • Áp dụng nguyên tắc đặc quyền tối thiểu cho quyền thực thi của Lambda.
      • Bảo vệ API Gateway với throttling, usage plans và authorizers.
    • Quản lý định danh người dùng ứng dụng với Amazon Cognito:
      • Xây dựng luồng xác thực và phân quyền cho người dùng cuối.
      • Tích hợp với các nhà cung cấp định danh mạng xã hội.
    • Bảo mật cho kiến trúc Container:
      • Sử dụng IAM Roles for Tasks (ECS) và IAM Roles for Service Accounts (EKS).
      • Quét lỗ hổng image container trên Amazon ECR.
8. Case Study: Thiết kế và Vận hành Hệ thống An toàn
    • Thiết kế kiến trúc tổng thể:
      • Xây dựng một hệ thống web 3-tầng có độ sẵn sàng và an toàn cao.
    • Triển khai các biện pháp bảo mật:
      • Cấu hình mã hóa toàn diện (at-rest và in-transit).
      • Kích hoạt và cấu hình bộ công cụ phát hiện mối đe dọa (GuardDuty, Security Hub).
    • Xây dựng quy trình vận hành an ninh:
      • Thiết lập quy trình tự động cảnh báo và ứng phó khi có sự cố.
    • Đánh giá và bảo vệ kiến trúc:
      • Trình bày và bảo vệ thiết kế bảo mật theo 5 trụ cột của AWS Well-Architected Framework.

Bài viết liên quan