Module 1: AWS Security Models

Technology terminology:
• Cloud services: Một hệ thống cho phép bạn lưu trữ, chỉnh sửa và chia sẻ dữ liệu với
người khác qua internet.
• Shared responsibility model: Một dịch vụ đám mây cung cấp các công cụ và phương
pháp để đảm bảo an toàn cho đám mây, nhưng người dùng cũng tham gia vào việc
bảo mật bằng cách triển khai các biện pháp an ninh dựa trên các dịch vụ được cung
cấp
• Infrastructure as a service (IaaS): Mô hình cung cấp các máy ảo (VMs) và máy chủ
cho khách hàng lưu trữ đa dạng các ứng dụng, đồng thời cung cấp các dịch vụ công
nghệ thông tin
• Software as a service (SaaS): Cung cấp các ứng dụng qua Internet do bên thứ ba
quản lý.
• Platform as a service (PaaS): Cung cấp nền tảng ảo cho khách hàng tự phát triển
phần mềm tùy chỉnh
• Identity and access management (IAM): Bao gồm việc áp dụng các biện pháp kiểm
soát đối với người dùng khi họ cần truy cập vào tài nguyên máy tính.
• Principle of least privilege: Nguyên tắc này xoay quanh khái niệm rằng cần áp dụng
ít quyền nhất có thể cho một người dùng để họ có thể thêm, sửa đổi hoặc xóa thông
tin
• Denial of service (DoS): Một kẻ tấn công có thể thực hiện một cuộc tấn công DoS
nhằm vào dịch vụ đám mây để khiến nó không thể truy cập được, từ đó làm gián
đoạn dịch vụ. Có một số cách mà kẻ tấn công có thể làm gián đoạn dịch vụ trong
môi trường đám mây ảo hóa: bằng cách sử dụng hết tài nguyên bộ xử lý trung tâm
(CPU), bộ nhớ truy cập ngẫu nhiên (RAM), dung lượng đĩa hoặc băng thông mạng.
• Watering hole attack: Một kiểu tấn công an ninh mạng, trong đó kẻ tấn công nhắm
mục tiêu đến một nhóm người dùng cụ thể bằng cách lây nhiễm những trang web
mà nhóm người này thường xuyên truy cập. Mục đích là đánh nhiễm máy tính của
người dùng mục tiêu và xâm nhập vào mạng lưới tại nơi làm việc của họ.
• Multi-factor authentication (MFA): Một hệ thống bảo mật yêu cầu nhiều hơn một
phương thức xác thực từ các nhóm thông tin đăng nhập độc lập để xác minh danh
tính của người dùng cho mục đích đăng nhập hoặc giao dịch khác.
Question:
Câu 1

Resource If it were Likelihood the Rationale

breached, what resource will be
would be the compromised
impact on your (high, medium,
business? low)

Website Mất uy tín, lòng tin Trung bình Website là trang

của khách hàng và web công cộng và
 doanh thu. Hacker có thể bị hacker
có thể phá hoại nhắm mục tiêu.
website hoặc đánh
cắp dữ liệu khách
hàng.

Customer credit Mất mát tài chính, Cao Dữ liệu thẻ tín dụng
card data trách nhiệm pháp lý của khách hàng là
và tổn hại lòng tin dữ liệu nhạy cảm và
của khách hàng. có giá trị cao đối
Hacker có thể đánh với hacker.
cắp số thẻ tín dụng
và sử dụng chúng
để thực hiện các
giao dịch gian lận.
Employee Vi phạm quyền Thấp Thông tin nhân viên
information riêng tư, trộm cắp thường không có
danh tính và gián giá trị đối với
đoạn hoạt động. hacker như dữ liệu
Hacker có thể đánh thẻ tín dụng của
cắp dữ liệu nhân khách hàng, nhưng
viên, chẳng hạn như vẫn có thể được sử
tên, địa chỉ và số an dụng để trộm cắp
sinh xã hội. danh tính.

Câu 2

a. Áp dụng PoLP cho quyền truy cập của nhân viên pha chế:

Hệ thống cần truy cập:

• Hệ thống bán hàng tại điểm (POS):

o Quyền hạn: ĐỌC (xem các mặt hàng trong menu và giá cả), VIẾT (nhập đơn đặt
hàng), và có thể XÓA (hủy đơn đặt hàng nếu cần).
• Máy tính tiền:
o Quyền hạn: ĐỌC (xem tổng số tiền), VIẾT (nhập số tiền thanh toán), và có thể XÓA
(hoàn tiền nếu được phép).

Không có quyền truy cập mở: Tuân theo PoLP, điều quan trọng là không cấp cho nhân
viên pha chế quyền truy cập mở vào tất cả các hệ thống. Điều này hạn chế khả năng
thiệt hại do lỗi vô tình hoặc vi phạm bảo mật.
 Lý do:

• Giảm thiểu rủi ro: Hạn chế quyền truy cập sẽ giảm thiểu tác động của các sai lầm hoặc
nhiễm mã độc.
• Bảo vệ dữ liệu: Dữ liệu nhạy cảm (ví dụ: hồ sơ tài chính, dữ liệu nhân viên) vẫn được
bảo vệ.
• Tuân thủ: PoLP thường phù hợp với các tiêu chuẩn và quy định của ngành (ví dụ: PCI
DSS đối với bảo mật thanh toán bằng thẻ).

b. Tích hợp chương trình khách hàng thân thiết:

Các hệ thống và quyền hạn bổ sung:

• Phần mềm chương trình khách hàng thân thiết:

o Quyền hạn: ĐỌC (xem trạng thái thành viên của khách hàng) và VIẾT (nhập ID khách
hàng hoặc quét thẻ khách hàng thân thiết).

Các cân nhắc bảo mật thông tin:

• Mức độ nhạy cảm của dữ liệu: Đánh giá mức độ nhạy cảm của dữ liệu trong chương
trình khách hàng thân thiết.
• Rủi ro truy cập trái phép: Đánh giá khả năng truy cập trái phép hoặc sử dụng sai dữ liệu
chương trình khách hàng thân thiết.
• Các giải pháp thay thế: Xem xét các tùy chọn như:
o Đăng ký do khách hàng quản lý: Khách hàng quản lý thành viên của họ thông qua máy
tính tự phục vụ hoặc ứng dụng.
o Đăng ký do quản lý giám sát: Hạn chế đăng ký cho quản lý, giảm số lượng nhân viên có
quyền truy cập.

Quyết định:

• Cấp quyền truy cập nếu:

o Vai trò của nhân viên pha chế thực sự yêu cầu quyền truy cập vào chương trình khách
hàng thân thiết.
o Các biện pháp bảo mật thích hợp (ví dụ: mật khẩu mạnh, cập nhật hệ thống thường
xuyên) đã được thực hiện.
• Hạn chế quyền truy cập nếu:
o Rủi ro truy cập trái phép hoặc sử dụng sai dữ liệu vượt quá lợi ích của sự tiện lợi.
o Các giải pháp thay thế đáp ứng nhu cầu của khách hàng mà không làm ảnh hưởng đến
bảo mật.
 Các nguyên tắc chính:

• Đánh giá liên tục: Thường xuyên đánh giá quyền truy cập và điều chỉnh khi cần thiết
dựa trên những thay đổi trong vai trò công việc hoặc rủi ro bảo mật.
• Quyền hạn tối thiểu: Luôn cấp cho nhân viên quyền hạn cần thiết tối thiểu để thực hiện
nhiệm vụ của họ.
• Theo dõi thường xuyên: Chủ động theo dõi nhật ký truy cập hệ thống để tìm hoạt động
bất thường và điều tra các vi phạm tiềm ẩn.
• Đào tạo nhân viên: Giáo dục nhân viên về các thực tiễn bảo mật tốt nhất và tầm quan
trọng của việc bảo vệ dữ liệu nhạy cảm.
Câu 3

1. Hợp tác với nhà cung cấp lưu trữ đáng tin cậy:

• Chọn nhà cung cấp lưu trữ có hồ sơ hoạt động bảo vệ và giảm thiểu DDoS mạnh mẽ.
• Đảm bảo họ có cơ sở hạ tầng vững chắc và chuyên môn để xử lý các cuộc tấn công
quy mô lớn.

2. Triển khai tường lửa ứng dụng web (WAF):

• Triển khai WAF để lọc ra lưu lượng truy cập độc hại trước khi nó đến trang web hoặc
ứng dụng.
• Cấu hình nó để chặn các mẫu tấn công DDoS phổ biến, chẳng hạn như tấn công theo
thể tích và tấn công theo lớp ứng dụng.

3. Sử dụng Mạng phân phối nội dung (CDN):

• Phân phối nội dung trang web trên nhiều máy chủ trên khắp thế giới, giảm tác động của
một cuộc tấn công DDoS đối với một máy chủ duy nhất.
• CDN cũng có thể hấp thụ lượng lưu lượng truy cập lớn và giảm thiểu các cuộc tấn công
trước khi chúng đến máy chủ gốc.

4. Giám sát lưu lượng mạng để tìm hoạt động bất thường:

• Giám sát thường xuyên lưu lượng mạng để tìm dấu hiệu của một cuộc tấn công
DDoS, chẳng hạn như đột ngột tăng lượng lưu lượng truy cập hoặc các mẫu bất
thường.
• Thiết lập cảnh báo để thông báo cho bạn về các cuộc tấn công tiềm ẩn để bạn có thể
hành động nhanh chóng.

5. Có kế hoạch ứng phó DDoS sẵn sàng:

• Phát triển một kế hoạch rõ ràng phác thảo các bước cần thực hiện trong trường hợp bị
tấn công DDoS.
• Bao gồm các thủ tục để xác định, giảm thiểu và phục hồi sau một cuộc tấn công.
• Phân công vai trò và trách nhiệm cho các thành viên trong nhóm.

6. Giáo dục nhân viên về các mối đe dọa DDoS:

• Đào tạo nhân viên để nhận ra dấu hiệu của một cuộc tấn công DDoS và báo cáo ngay
lập tức.
• Nâng cao nhận thức về các thực tiễn bảo mật tốt nhất, chẳng hạn như mật khẩu mạnh
và thói quen duyệt web an toàn.

7. Giữ cho hệ thống và phần mềm được cập nhật:

• Cài đặt thường xuyên các bản vá bảo mật và cập nhật để giải quyết các lỗ hổng có thể
bị khai thác trong một cuộc tấn công DDoS.
• Sử dụng các phiên bản phần mềm và firmware mới nhất.
 Module 2: Shared Security
Technology terminology:
• Amazon Inspector: Một dịch vụ đánh giá bảo mật tự động giúp bạn kiểm tra tính khả
dụng của mạng của các máy chủ Amazon Elastic Compute Cloud (Amazon EC2) của
bạn và trạng thái bảo mật của ứng dụng đang chạy trên các máy chủ đó
• AWS Trusted Advisor: Một dịch vụ đánh giá bảo mật áp dụng cho toàn bộ tài khoản
Amazon Web Services (AWS). Nó cung cấp lời khuyên về các phương pháp tốt nhất
về bảo mật, tối ưu chi phí, hiệu suất, khả năng chịu lỗi và giới hạn dịch vụ.
• Amazon Simple Storage Service (Amazon S3): Một dịch vụ được cung cấp bởi AWS
để lưu trữ dữ liệu cho người dùng trong đám mây.
• Multi-factor authentication (MFA): Một hệ thống bảo mật yêu cầu sử dụng hơn một
phương thức xác thực từ các danh mục thông tin đăng nhập độc lập để xác minh danh
tính của người dùng cho một phiên đăng nhập hoặc giao dịch khác.
• AWS Identity and Access Management (IAM):
Liên quan đến việc áp dụng các điều khiển đối với người dùng cần truy cập vào tài
nguyên máy tính.
• Amazon Elastic Block Store (Amazon EBS): Bộ nhớ cho các phiên bản EC2 cụ thể.
Hãy xem nó như ổ đĩa lưu trữ cho phiên bản EC2 của bạn
• Amazon Relational Database Service (Amazon RDS): Cho phép các nhà phát triển tạo
và quản lý cơ sở dữ liệu quan hệ trên đám mây. Hãy nghĩ về một cơ sở dữ liệu quan hệ
như một tập hợp dữ liệu với các mối quan hệ 1-1. Ví dụ, một cơ sở dữ liệu của các
giao dịch trong một cửa hàng bách hóa sẽ phù hợp với mỗi khách hàng với các giao
dịch mua hàng của họ. Amazon RDS cho phép các nhà phát triển theo dõi lượng lớn
dữ liệu này và tổ chức và tìm kiếm thông qua nó một cách hiệu quả. Amazon RDS
được trang bị một ngôn ngữ truy vấn có cấu trúc không thủ tục (SQL) giúp tương tác
của người dùng với RDS.
Question:

1. Chức năng của chuyên viên tư vấn dinh dưỡng:

• Đánh giá nhu cầu dinh dưỡng: Thu thập thông tin về tình trạng sức khỏe, lối sống và
mục tiêu của khách hàng để xác định nhu cầu dinh dưỡng cá nhân.
• Xây dựng kế hoạch ăn uống: Tạo thực đơn và khẩu phần ăn phù hợp với nhu cầu dinh
dưỡng, sở thích và điều kiện của khách hàng.
• Giáo dục dinh dưỡng: Cung cấp kiến thức về dinh dưỡng lành mạnh, hướng dẫn cách
lựa chọn thực phẩm và xây dựng thói quen ăn uống tốt.
• Theo dõi và tư vấn: Theo dõi tiến độ của khách hàng, điều chỉnh kế hoạch ăn uống khi
cần thiết và hỗ trợ giải quyết các vấn đề liên quan đến dinh dưỡng.

Chức năng có thể tự động hóa:

• Phân tích thông tin về chế độ ăn uống và hoạt động thể chất của khách hàng để đưa ra
gợi ý về khẩu phần ăn và dinh dưỡng.
• Tạo thực đơn mẫu dựa trên nhu cầu dinh dưỡng và sở thích của khách hàng.
• Cung cấp thông tin và lời khuyên về dinh dưỡng thông qua chatbot hoặc ứng dụng.

Mối quan tâm về bảo mật:

• Bảo mật thông tin cá nhân và sức khỏe của khách hàng.
• Đảm bảo tính chính xác và phù hợp của các lời khuyên tự động.

2. Chức năng của thiết bị theo dõi sức khỏe:

• Theo dõi hoạt động thể chất: Đo lường số bước chân, quãng đường đi, thời gian vận
động, nhịp tim, lượng calo tiêu thụ.
• Theo dõi giấc ngủ: Theo dõi thời gian ngủ, chất lượng giấc ngủ.
• Đo các chỉ số sức khỏe: Theo dõi nhịp tim, huyết áp, nồng độ oxy trong máu.

Hỗ trợ tư vấn dinh dưỡng:

• Cung cấp dữ liệu về hoạt động thể chất và sức khỏe của khách hàng để chuyên viên tư
vấn có thể đưa ra kế hoạch dinh dưỡng phù hợp và hiệu quả hơn.
• Giúp khách hàng theo dõi tiến độ và điều chỉnh chế độ ăn uống, luyện tập.

3. Chức năng của chuyên viên tư vấn bảo mật đám mây:

• Đánh giá rủi ro bảo mật: Xác định các điểm yếu và lỗ hổng bảo mật trong hệ thống đám
mây.
• Đề xuất giải pháp bảo mật: Tư vấn và triển khai các biện pháp bảo mật để bảo vệ dữ
liệu và hệ thống đám mây.
• Giám sát tuân thủ: Đảm bảo hệ thống đám mây tuân thủ các tiêu chuẩn bảo mật và quy
định pháp luật.
• Đào tạo và nâng cao nhận thức bảo mật: Giáo dục và nâng cao nhận thức về bảo mật
cho người dùng và nhân viên.

Chức năng có thể tự động hóa:

• Quét lỗ hổng bảo mật.

• Giám sát hoạt động đáng ngờ.
• Cảnh báo về các mối đe dọa bảo mật.
 Mối quan tâm về bảo mật:

• Bảo mật thông tin nhạy cảm về hệ thống đám mây.

• Đảm bảo tính chính xác và hiệu quả của các giải pháp tự động.

4. Chức năng của công cụ theo dõi bảo mật như Amazon Inspector:

• Quét lỗ hổng bảo mật: Tìm kiếm các lỗ hổng và điểm yếu trong hệ thống đám mây.
• Đánh giá rủi ro bảo mật: Xác định mức độ nghiêm trọng của các lỗ hổng và ưu tiên các
biện pháp khắc phục.
• Giám sát tuân thủ: Đảm bảo hệ thống đám mây tuân thủ các tiêu chuẩn bảo mật.
• Cung cấp báo cáo bảo mật: Tổng hợp kết quả quét và đánh giá rủi ro để hỗ trợ ra quyết
định bảo mật.

Hỗ trợ tư vấn bảo mật như Trusted Advisor:

• Cung cấp thông tin chi tiết về các lỗ hổng và rủi ro bảo mật.
• Giúp chuyên viên tư vấn xác định và ưu tiên các vấn đề bảo mật cần giải quyết.
• Tăng cường khả năng giám sát và bảo vệ hệ thống đám mây của tổ chức.

Module 3: Cloud Services and Instance States

Technology terminology:
• Amazon Elastic Compute Cloud (Amazon EC2):
Một dịch vụ web cung cấp khả năng tính toán có thể điều chỉnh và an toàn trong đám
mây. Hãy nghĩ về nó như việc thuê một máy tính trong đám mây.
• EC2 instance:
Một máy chủ ảo trong Amazon Elastic Compute Cloud (Amazon EC2) để chạy các
ứng dụng trên cơ sở hạ tầng của Amazon Web Services (AWS)
• Amazon Elastic Block Store (Amazon EBS):
Bộ nhớ cho các phiên bản cụ thể của Amazon Elastic Compute Cloud (Amazon EC2).
Hãy xem nó như ổ đĩa lưu trữ cho phiên bản EC2 của bạn.
• Instance store volumes: Bộ nhớ tạm thời không lưu trữ thông qua các dừng, chấm dứt
phiên bản, hoặc lỗi phần cứng.
• Amazon Machine Image (AMI): Một loại ứng dụng ảo đặc biệt được sử dụng để tạo
máy ảo (VM) trong Amazon Elastic Compute Cloud (Amazon EC2). Nó phục vụ như
đơn vị cơ bản của triển khai cho các dịch vụ được cung cấp bằng cách sử dụng
Amazon EC2.
• IPv4 address: Một số 32-bit độc nhất xác định một giao diện mạng trên một máy tính.
Một địa chỉ IPv4 thường được viết dưới dạng các số thập phân và được định dạng
 thành bốn trường 8-bit được phân tách bằng dấu chấm.
• IPv6 address: Một chuỗi 128-bit chữ số và chữ cái đại diện cho một thiết bị trong lược
đồ địa chỉ cho IPv6. Địa chỉ IPv6 được ưa chuộng bởi người dùng chuyên nghiệp như
kỹ sư mạng, các công ty công nghệ, trung tâm dữ liệu và nhà cung cấp dịch vụ di
động.
• Elastic IP address:
Một địa chỉ IPv4 tĩnh được thiết kế cho việc tính toán đám mây động, được liên kết
với tài khoản Amazon Web Services (AWS) của bạn. Địa chỉ Elastic IP được giữ
nguyên qua các sự kiện thường gây thay đổi địa chỉ, như dừng hoặc khởi động lại
phiên bản.

Question:
Câu 1

1. Dữ liệu di động (data) trên điện thoại là gì?

Dữ liệu di động, hay còn gọi là data, là lượng thông tin được truyền tải giữa điện thoại
của bạn và internet thông qua mạng di động. Mỗi lần bạn lướt web, xem video, nghe
nhạc, dùng mạng xã hội... đều tiêu tốn một lượng data nhất định.

2. Cách sử dụng data phổ biến trên điện thoại:

• Duyệt web: Mỗi trang web bạn truy cập đều tải dữ liệu về hình ảnh, văn bản, mã
code... nên sẽ tiêu tốn data.
• Xem video/nghe nhạc: Video và nhạc chất lượng cao ngốn nhiều data hơn so với chất
lượng thấp.
• Mạng xã hội: Tải ảnh, video, cập nhật trạng thái, nhắn tin... trên
Facebook, Instagram, TikTok... đều dùng data.
• Bản đồ trực tuyến: Sử dụng Google Maps, Waze... để tìm đường cũng ngốn data.
• Tải app/game: Download app và game mới, cập nhật phiên bản đều tốn data.

3. Tương tự với việc sử dụng tài nguyên EC2 trên nền tảng điện toán đám mây:

• EC2 instance tương tự như một chiếc máy tính ảo chạy trên nền tảng đám mây. Bạn
thuê instance này để chạy các ứng dụng, phần mềm của mình.
• Tài nguyên của instance bao gồm sức mạnh xử lý (CPU), dung lượng RAM, không gian
lưu trữ...
• Cách sử dụng tài nguyên EC2: Chạy website, ứng dụng, phân tích dữ liệu, render
video... đều tiêu tốn tài nguyên của instance.
• Hiểu rõ mức sử dụng tài nguyên EC2 giúp bạn chọn loại instance phù hợp, tránh lãng
phí chi phí thuê instance quá mạnh so với nhu cầu.

Điểm tương đồng:

• Cả data di động và tài nguyên EC2 đều là những dịch vụ tính phí theo mức sử dụng.
• Hiểu rõ cách sử dụng data và tài nguyên giúp bạn tiết kiệm chi phí:
o Chọn gói data di động phù hợp với nhu cầu sử dụng.
o Chọn loại instance EC2 với cấu hình đáp ứng đủ nhu cầu, tránh dư thừa lãng phí.

Câu 2

1. Lý do sử dụng On-Demand Instance khi có thể dự đoán nhu cầu instance trước hoặc
cho sức mạnh tính toán biến động liên tục:

Tính linh hoạt:

• Khởi chạy và dừng instance ngay lập tức, phù hợp với nhu cầu đột xuất, ngắn hạn hoặc
không thể dự đoán chính xác.
• Dễ dàng mở rộng hoặc thu hẹp quy mô tài nguyên theo biến động nhu cầu.

Không cần cam kết dài hạn:

• Không ràng buộc thời gian sử dụng, phù hợp cho các dự án ngắn hạn, thử nghiệm hoặc
phát triển.
• Tránh lãng phí nếu nhu cầu giảm hoặc dự án kết thúc sớm.

Trả tiền cho mức sử dụng thực tế:

• Chỉ chi trả cho giờ sử dụng, không tốn phí khi instance không hoạt động.
• Thích hợp cho các tác vụ không liên tục hoặc có mức sử dụng thay đổi.

2. Các yếu tố xác định giá gói cước điện thoại gia đình:

• Số lượng thành viên: Gói càng nhiều thành viên thường càng rẻ.
• Lượng data sử dụng: Gói càng nhiều data càng đắt.
• Các dịch vụ đi kèm: Thoại, tin nhắn, ưu đãi gọi nội mạng, ngoại mạng,...
• Thời hạn cam kết: Gói dài hạn thường có giá ưu đãi hơn.
 3. Khi nào nên chọn trả phí cố định thay vì phí biến đổi theo mức sử dụng:

Đảm bảo chi phí ổn định:

• Dễ dàng dự trù ngân sách và kiểm soát chi tiêu.

• Không lo lắng tăng phí đột ngột khi nhu cầu sử dụng tăng cao.

Dự đoán mức sử dụng dễ dàng:

• Khi có thể ước tính chính xác mức sử dụng instance, chẳng hạn như các ứng dụng ổn
định, không có đột biến bất thường.

Ưu tiên tính sẵn sàng cao:

• Đảm bảo instance luôn sẵn sàng, không bị gián đoạn do giá spot instance biến động.

Trường hợp cụ thể:

• Chạy các ứng dụng quan trọng, cần đảm bảo hoạt động liên tục (ví dụ: hệ thống thanh
toán, website thương mại điện tử).
• Có khối lượng công việc ổn định, có thể dự đoán trước.
• Muốn tối ưu hóa chi phí và đơn giản hóa việc quản lý tài chính.