Module 7: Security I

1. Thuật ngữ

AWS Identity and Access Management (Quản lý quyền truy cập và

nhận dạng): Liên quan đến việc áp dụng các biện pháp kiểm soát cho người dùng
cần truy cập vào tài nguyên máy tính.
Role: một định danh IAM mà bạn có thể tạo trong tài khoản của mình có
các quyền cụ thể.
User: một thực thể mà bạn tạo trong Amazon Web Services (AWS) để đại
diện cho người hoặc ứng dụng sử dụng nó để tương tác với AWS. Người dùng
trong AWS bao gồm tên và thông tin xác thực.
Security group (Nhóm bảo mật): Nhóm bảo mật hoạt động như một tường
lửa ảo cho phiên bản của bạn để kiểm soát lưu lượng truy cập vào và ra.
Policy: Một đối tượng trong AWS, khi được liên kết với danh tính hoặc tài
nguyên, sẽ xác định các quyền của đối tượng đó. AWS đánh giá các chính sách này
khi thực thể chính (người dùng hoặc vai trò) đưa ra yêu cầu.
Amazon Inspector: Giúp khách hàng xác định các lỗ hổng bảo mật và sai
lệch so với các phương pháp bảo mật tốt nhất trong ứng dụng, trước khi chúng
được triển khai và trong khi chúng đang chạy trong môi trường sản xuất.
Group: Nhóm IAM là tập hợp những người dùng IAM. Nhóm cho phép bạn
chỉ định quyền cho nhiều người dùng, điều này có thể giúp quản lý quyền cho
những người dùng đó dễ dàng hơn.
Root user (Người dùng root): Khi tạo tài khoản AWS lần đầu tiên, bạn bắt
đầu bằng một danh tính đăng nhập duy nhất có toàn quyền truy cập vào tất cả các
dịch vụ và tài nguyên AWS trong tài khoản.
 Credential: Thông tin xác thực bảo mật AWS xác minh bạn là ai và liệu bạn
có quyền truy cập vào tài nguyên mà bạn đang yêu cầu hay không.
Enable multi-factor authentication (MFA): kích hoạt xác thực đa yếu tố -
cách tiếp cận xác thực này yêu cầu hai hoặc nhiều thông tin độc lập được xác thực.
JavaScript Object Notation (JSON): một cú pháp để lưu trữ và trao đổi dữ
liệu.
Multi-factor authentication (MFA): Xác thực đa yếu tố - Hệ thống bảo
mật yêu cầu nhiều phương thức xác thực từ các danh mục thông tin xác thực độc
lập để xác minh danh tính của người dùng khi đăng nhập hoặc giao dịch khác.
2. Nội dung

Bảo mật là điều cần thiết khi sử dụng tài nguyên đám mây để xử lý và lưu
trữ dữ liệu. Vì cơ sở dữ liệu, trang web và ứng dụng trên đám mây có thể xử lý
thông tin nhạy cảm như hồ sơ ngân hàng và y tế nên các tài nguyên đám mây này
cần phải hạn chế ai có thể truy cập chúng và họ có những đặc quyền gì khi thực
hiện việc đó.
IAM liên quan đến việc áp dụng các biện pháp kiểm soát cho người dùng
cần quyền truy cập vào tài nguyên máy tính. Tài khoản AWS của một công ty có
thể có các dịch vụ được quản lý bởi hàng chục người khác nhau, những người này
có thể ở các phòng ban hoặc văn phòng khác nhau, có trách nhiệm hoặc cấp độ
thâm niên khác nhau và thậm chí ở các quốc gia khác nhau. Để duy trì môi trường
đám mây an toàn với tất cả các biến này đang hoạt động, điều quan trọng là phải
duy trì các phương pháp hay nhất cho IAM. Để xem lại các biện pháp thực hành
tốt nhất, hãy xem Biện pháp bảo mật tốt nhất trong IAM (mở trong tab mới) trong
Hướng dẫn sử dụng Quản lý quyền truy cập và nhận dạng AWS.
Danh tính AWS
 Khi nghĩ về IAM trong AWS, có các vai trò, danh tính và nhóm, tất cả đều
được quản lý bởi chính sách.
Ở cấp độ cao nhất là người dùng root. Đây là danh tính đã tạo tài khoản
AWS. Người dùng root có quyền truy cập vào mọi khía cạnh của AWS và đóng vai
trò là quản trị viên toàn cầu. Thông tin đăng nhập của người dùng root không bao
giờ được cung cấp và thậm chí người tạo tài khoản không nên thực hiện các công
việc hàng ngày với tư cách là người dùng root. Thay vào đó, tài khoản người dùng
root nên được sử dụng để tạo tài khoản quản trị viên. Chỉ một số tác vụ phải được
thực hiện với tư cách là người dùng root, chẳng hạn như thay đổi gói hỗ trợ AWS
hoặc đóng tài khoản.
Người dùng IAM là một thực thể được tạo trong AWS. Nó đại diện cho
người sử dụng dịch vụ AWS và cung cấp cho mọi người khả năng đăng nhập vào
AWS. Người dùng sẽ được chỉ định tên và mật khẩu để truy cập bảng điều khiển
AWS. Khi tạo người dùng, cách tốt nhất là chỉ định họ vào một nhóm có chính
sách quyền phù hợp.
Nhóm là tập hợp những người dùng IAM. Bạn có thể sử dụng các nhóm để
chỉ định quyền cho một tập hợp người dùng, điều này có thể giúp những người
dùng đó quản lý các quyền đó dễ dàng hơn. Ví dụ: bạn có thể có một nhóm được
gọi là Quản trị viên và cấp cho nhóm đó các loại quyền mà quản trị viên thường
cần. Bất kỳ người dùng nào trong nhóm đó đều tự động có các quyền được gán cho
nhóm. Nếu người dùng mới tham gia tổ chức của bạn và cần đặc quyền của quản
trị viên, bạn có thể chỉ định các quyền thích hợp bằng cách thêm người dùng vào
nhóm đó. Tương tự, nếu một người thay đổi công việc trong tổ chức của bạn, thay
vì chỉnh sửa quyền của người dùng đó, bạn có thể xóa người đó khỏi nhóm cũ và
thêm người đó vào nhóm mới thích hợp.
Vai trò IAM tương tự như người dùng ở chỗ họ là danh tính với các chính
sách cấp phép xác định danh tính có thể và không thể thực hiện những gì trong
AWS. Tuy nhiên, một vai trò không có bất kỳ thông tin xác thực nào (mật khẩu
hoặc khóa truy cập) được liên kết với nó. Thay vì được liên kết duy nhất với một
người, một vai trò được dự định sẽ được đảm nhận bởi bất kỳ ai cần nó. Người
dùng IAM có thể đảm nhận vai trò tạm thời đảm nhận các quyền khác nhau cho
một tác vụ cụ thể. Vai trò rất hữu ích trong trường hợp ứng dụng di động đang truy
cập dữ liệu AWS của bạn. Bạn không muốn mọi người sử dụng ứng dụng đó đều
có thông tin xác thực cho tài khoản AWS của bạn nhưng họ cần một số quyền truy
cập vào dữ liệu khi sử dụng ứng dụng. Bằng cách chỉ định vai trò khi người dùng
đăng nhập, họ được cấp quyền truy cập tạm thời với một số quyền chứ không phải
bằng chứng xác thực vĩnh viễn.
Trước đó, một chính sách đã được đề cập liên quan đến các quyền mà một
nhóm có thể được chỉ định. Chính sách, khi được đính kèm với người dùng, vai trò
hoặc nhóm, sẽ xác định quyền của họ. Các chính sách được lưu trữ trong AWS
dưới dạng tài liệu JSON. Cách tốt nhất là gán chính sách cho các nhóm, sau đó gán
từng người dùng và vai trò cho một nhóm khi được tạo. Bằng cách này, bạn có thể
nhanh chóng xóa hoặc thay đổi quyền mà không cần phải sửa đổi từng người dùng
hoặc vai trò riêng lẻ.
3. Questions

1. What three things do you own that are most valuable to you? How do
you secure each one? How can you secure something in multiple ways? How
do you determine how secure something needs to be?
 Ba thứ mà tôi sở hữu có giá trị nhất đối với tôi là gia đình, sức khỏe và
kiến thức.
 Gia đình: Tôi bảo vệ gia đình bằng cách duy trì mối quan hệ tốt đẹp, cung
cấp sự hỗ trợ và tôn trọng lẫn nhau. Để đảm bảo an toàn vật chất, tôi sử dụng hệ
thống bảo mật như camera an ninh, khóa cửa an toàn, và bảo hiểm.
  Sức khỏe: Tôi bảo vệ sức khỏe bằng cách duy trì lối sống lành mạnh, ăn
uống cân đối, tập thể dục đều đặn và kiểm tra y tế định kỳ. Để đảm bảo an toàn sức
khỏe, tôi cũng thường xuyên kiểm tra bảo hiểm y tế và tuân thủ các hướng dẫn về
an toàn và sức khỏe từ chuyên gia y tế.
 Kiến thức: Tài sản quý giá nhất mà tôi có là kiến thức. Để bảo vệ nó, tôi duy
trì sự học hỏi liên tục, sử dụng các nguồn thông tin đáng tin cậy và phân tích thông
tin một cách chín chắn. Tôi cũng sao lưu dữ liệu quan trọng và sử dụng các công
nghệ bảo mật như mật khẩu mạnh và mã hóa để bảo vệ thông tin cá nhân.
Cách bảo vệ một tài sản theo nhiều cách bao gồm việc sử dụng nhiều lớp
bảo mật, chẳng hạn như mật khẩu kết hợp với xác thực hai yếu tố, sử dụng các
phương tiện vật lý như hộp an toàn hoặc hệ thống bảo mật điện tử, và duy trì một
kế hoạch sao lưu định kỳ.
Mức độ bảo vệ cần thiết được xác định dựa trên giá trị của tài sản và mức độ
nguy cơ tiềm ẩn. Nếu một tài sản quan trọng và có giá trị cao, như thông tin cá
nhân hay tài liệu quan trọng, thì cần áp dụng các biện pháp bảo mật mạnh mẽ hơn
so với những tài sản ít quan trọng hơn. Đánh giá nguy cơ và hiểu rõ yêu cầu bảo
mật là quan trọng để quyết định mức độ bảo vệ cần thiết.
2. What are some examples of places that have different levels of access
based on who you are? What are some things that people can use to prove that
they have access to places? Why are certain places restricted based on a
person’s access level?

 Có một số ví dụ về các nơi có các mức độ truy cập khác nhau dựa trên
danh tính của bạn:

 Văn phòng công ty: Có các khu vực trong văn phòng công ty mà chỉ nhân
viên được phép truy cập, như khu vực làm việc của các bộ phận cụ thể hoặc phòng
họp quan trọng. Các khu vực như phòng giám đốc hoặc trung tâm dữ liệu thường
có các biện pháp bảo mật nghiêm ngặt và chỉ nhân viên có thẩm quyền mới được
phép vào.
 Sân bay: Sân bay có các khu vực khác nhau dành cho hành khách thông
thường và hành khách có thẻ lên máy bay hoặc hạng vé cao cấp. Ngoài ra, khu vực
như phòng chờ hạng thương gia hoặc phòng hội viên cũng yêu cầu mức độ truy
cập khác nhau.
 Công viên giải trí: Các công viên giải trí có thể có các khu vực đặc biệt hoặc
khu vực VIP mà chỉ có khách hàng mua vé cao cấp hoặc có thẻ thành viên mới
được phép truy cập.

Những người muốn chứng minh rằng họ có quyền truy cập vào những nơi này có
thể sử dụng các phương tiện như:

 Thẻ nhận diện: Ví dụ như thẻ nhân viên, thẻ thành viên, hoặc thẻ ra vào đặc
biệt.
 Mã truy cập hoặc mã thông báo: Điều này thường áp dụng cho cổng ra vào
hoặc hệ thống bảo mật điện tử.
 Vật dụng định danh khác: Như vé lên máy bay, vòng đeo cổ tay hoặc dây
đeo có thẻ.

Các nơi có các mức độ truy cập khác nhau dựa trên danh tính của người
dùng vì lý do bảo mật và an toàn. Các khu vực như trung tâm dữ liệu, vùng an ninh
tại sân bay hoặc khu vực công nghệ cao yêu cầu mức độ kiểm soát cao để ngăn
chặn truy cập trái phép hoặc hành vi gây nguy hiểm.

3. Have you or someone you know ever had something stolen or broken
into? How did it feel? Did it change how safe you felt you or your things were?
How so? Did it change how you managed your security? How so?
  Trong quá khứ, tôi hoặc một số người quen của tôi đã từng trải qua việc
bị mất cắp hoặc bị đột nhập. Cảm giác khi gặp phải tình huống này thường làm cho
người ta cảm thấy tổn thương, bất an và không an toàn. Việc mất cắp hoặc bị đột
nhập có thể làm thay đổi cảm giác an toàn đối với bản thân hoặc các vật phẩm của
bạn bởi vì nó làm bạn nhận ra rằng nguy cơ tồn tại và có thể ảnh hưởng đến cuộc
sống hàng ngày của bạn.

Cảm giác không an toàn có thể làm thay đổi cách bạn quản lý bảo mật. Điều
này có thể bao gồm việc tăng cường các biện pháp bảo mật như sử dụng hệ thống
bảo mật nâng cao, cài đặt camera an ninh, hoặc thay đổi thói quen để tránh những
tình huống nguy hiểm. Ngoài ra, việc tăng cường sự nhận thức về an ninh và giáo
dục về các biện pháp phòng tránh có thể là một phần của việc quản lý bảo mật sau
khi trải qua trải nghiệm đáng tiếc như vậy.
 Module 8: Security II
1. Thuật ngữ

AWS Shield: Dịch vụ bảo vệ DDoS được quản lý nhằm bảo vệ các ứng
dụng chạy trên Amazon Web Services (AWS).

AWS WAF: Dịch vụ cung cấp cho bạn quyền kiểm soát lưu lượng truy cập
nào sẽ cho phép hoặc chặn các ứng dụng web của bạn bằng cách xác định các quy
tắc bảo mật web có thể tùy chỉnh.

Distributed denial of service (DDoS): Một hành vi cố ý nhằm làm cho một
hệ thống mục tiêu, chẳng hạn như một trang web hoặc ứng dụng, không thể truy
cập được đối với người dùng cuối. Để đạt được điều này, kẻ tấn công sử dụng
nhiều kỹ thuật khác nhau nhằm tiêu tốn mạng hoặc các tài nguyên khác, làm gián
đoạn quyền truy cập của người dùng cuối hợp pháp.

Amazon Inspector: Một dịch vụ đánh giá bảo mật tự động. Nó giúp bạn
kiểm tra khả năng truy cập mạng của các phiên bản Amazon Elastic Computer
Cloud (Amazon EC2) và trạng thái bảo mật của các ứng dụng chạy trên các phiên
bản đó.

AWS Artifact: Một nguồn tài nguyên trung tâm cho thông tin liên quan đến
tuân thủ. Nó cung cấp quyền truy cập theo yêu cầu vào các báo cáo tuân thủ và bảo
mật AWS cũng như các thỏa thuận trực tuyến chọn lọc.

2. Nội dung

Bốn lĩnh vực bảo mật phải được giải quyết cho điện toán đám mây:

 Dữ liệu: Bảo vệ thông tin được lưu trữ và xử lý trên đám mây.
  Quyền: Quy định ai có quyền truy cập vào tài nguyên và dữ liệu trên đám
mây.
 Cơ sở hạ tầng: Bảo vệ máy móc và phần cứng chạy, lưu trữ và xử lý dữ liệu
trên đám mây.
 Đánh giá: Kiểm tra cơ sở hạ tầng, quyền và dữ liệu để đảm bảo chúng được
an toàn.

Trong mô-đun này, chúng tôi sẽ đề cập đến cơ sở hạ tầng và đánh giá.

 Shield và AWS WAF là các dịch vụ giải quyết các cuộc tấn công vào cơ sở
hạ tầng, chủ yếu là mạng được sử dụng để truy cập tài nguyên đám mây.
 Amazon Inspector giải quyết vấn đề đánh giá bằng cách điều tra xem tài
nguyên đám mây mà chúng tôi sử dụng, chẳng hạn như phiên bản EC2, đang
được bảo vệ tốt đến mức nào. Nó cũng điều tra xem các tài nguyên này có
tuân theo các nguyên tắc thực hành tốt nhất hay không.

Bản chất của đám mây khiến nó dễ bị tấn công mạng, có thể khiến các trang
web, ứng dụng và quy trình ngừng hoạt động. Khi một công ty trị giá hàng tỷ đô la
như Amazon dựa vào đám mây, công ty đó cần biết rằng mình được bảo vệ khỏi
các cuộc tấn công.

Một loại tấn công mạng chính được gọi là DDoS. DDoS xảy ra khi kẻ tấn
công thiết lập các chương trình gửi hàng nghìn hoặc hàng triệu yêu cầu đến một
ứng dụng, trang web hoặc dịch vụ cùng một lúc. Lưu lượng truy cập tăng đột biến
này có thể tiêu tốn tài nguyên đến mức người dùng hợp pháp không thể truy cập
trang web hoặc ứng dụng nữa.
 Các cuộc tấn công DDoS có thể được thực hiện vì nhiều lý do bao gồm cạnh
tranh, động cơ chính trị hoặc động cơ kinh tế. Dù lý do là gì đi nữa, AWS đều có
các dịch vụ giúp giảm thiểu những mối đe dọa này cho người dùng đám mây.

Shield hoạt động cùng với Elastic Load Balancing, Amazon CloudFront và
Amazon Route 53 để bảo vệ khỏi các cuộc tấn công DDoS. Có hai tầng dịch vụ:

 AWS Shield Standard được cung cấp miễn phí cho tất cả người dùng AWS.
Nó bảo vệ người dùng khỏi các cuộc tấn công DDoS phổ biến nhất. Tính năng bảo
vệ này được áp dụng tự động và minh bạch cho mọi tài nguyên ELB, bản phân
phối CloudFront và tài nguyên Route 53.
 AWS Shield Advanced cung cấp khả năng giảm thiểu DDoS bổ sung cho các
cuộc tấn công quy mô lớn, phát hiện cuộc tấn công thông minh và giảm thiểu các
cuộc tấn công ở lớp ứng dụng và mạng. Người dùng có quyền truy cập 24/7 vào
Nhóm phản hồi DDoS (DRT) để giảm thiểu tùy chỉnh trong các cuộc tấn công.
Người dùng cũng nhận được các số liệu và báo cáo theo thời gian thực nâng cao
cũng như bảo vệ chi phí DDoS để đề phòng hóa đơn tăng đột biến sau một cuộc
tấn công DDoS. Shield Advanced được cung cấp với một khoản phụ phí.

AWS WAF là một công cụ phòng thủ khác do AWS cung cấp. Nó giúp bảo
vệ các ứng dụng web khỏi các hoạt động khai thác có thể ảnh hưởng đến tính khả
dụng, bảo mật hoặc tiêu tốn tài nguyên. AWS WAF có thể giám sát lưu lượng truy
cập web của ứng dụng và quyết định lưu lượng nào sẽ được cho phép dựa trên yêu
cầu cụ thể được đưa ra. Người dùng AWS có thể tạo bộ quy tắc của riêng mình để
điều hướng lưu lượng truy cập nào được AWS WAF cho phép xuống các địa chỉ IP
cụ thể.

Amazon Inspector không chủ động bảo vệ các dịch vụ AWS của bạn. Thay
vào đó, nó giám sát các dịch vụ và cung cấp cho bạn thông tin cập nhật về mọi lỗ
hổng hoặc bất kỳ nơi nào mà bạn không tuân theo các phương pháp hay nhất. Điều
này có thể hữu ích cho các chuyên gia để đảm bảo rằng họ đáp ứng các tiêu chuẩn
tuân thủ bảo mật và cho những người dùng mới có thể tìm hiểu về các phương
pháp hay nhất.

Amazon Inspector hoạt động bằng cách chạy đánh giá trên các phiên bản
EC2 của bạn; quá trình đánh giá sẽ kiểm tra một số phương pháp hay nhất được
xác định trước. Sau khi thực hiện đánh giá, Amazon Inspector đưa ra danh sách chi
tiết các phát hiện bảo mật được ưu tiên theo mức độ nghiêm trọng. Những phát
hiện này có thể được xem xét trực tiếp hoặc như một phần của báo cáo đánh giá chi
tiết có sẵn thông qua bảng điều khiển hoặc API của Amazon Inspector.

Đánh giá bảo mật của Amazon Inspector giúp bạn kiểm tra khả năng truy
cập mạng ngoài ý muốn của các phiên bản EC2 và các lỗ hổng trên các phiên bản
EC2 đó. Các đánh giá của Amazon Inspector được cung cấp cho bạn dưới dạng các
gói quy tắc được xác định trước, được ánh xạ tới các biện pháp thực hành tốt nhất
về bảo mật phổ biến và các định nghĩa về lỗ hổng bảo mật. Ví dụ về các quy tắc
tích hợp bao gồm kiểm tra quyền truy cập vào các phiên bản EC2 của bạn từ
internet, kích hoạt đăng nhập root từ xa hoặc cài đặt các phiên bản phần mềm dễ bị
tấn công. Các nhà nghiên cứu bảo mật của AWS thường xuyên cập nhật các quy
tắc này.

AWS Artifact là tài nguyên tập trung cung cấp thông tin liên quan đến tuân
thủ. Các tổ chức khác nhau yêu cầu nhà cung cấp dịch vụ đám mây (CSP) phải đáp
ứng nhiều chứng nhận và quy tắc khác nhau để lưu trữ dữ liệu hoặc xử lý yêu cầu
của họ. Các tổ chức xử lý dữ liệu nhạy cảm như thông tin ngân hàng, thông tin cá
nhân hoặc hồ sơ y tế phải đảm bảo rằng dịch vụ đám mây của họ đáp ứng các tiêu
chuẩn bảo mật nhất định. AWS Artifact liệt kê và cung cấp thông tin chi tiết về các
tiêu chuẩn tuân thủ khác nhau mà họ đáp ứng.

3. Questions

1. What might motivate someone to initiate a cyberattack against a

company? What might attackers have to gain? Include an example of a
company or a type of business and a kind of cyberattack it might be a victim
of.

 Có nhiều động cơ có thể thúc đẩy một người tiến hành một cuộc tấn công
mạng vào một công ty. Một số động cơ phổ biến bao gồm:

 Lợi ích tài chính: Kẻ tấn công có thể muốn trộm cắp thông tin tài chính như
thông tin thẻ tín dụng hoặc thông tin ngân hàng để lừa đảo hoặc thực hiện
giao dịch gian lận.
 Cạnh tranh kinh doanh: Trong một số trường hợp, các công ty cạnh tranh có
thể tấn công nhằm vào các đối thủ của họ để đánh cắp dữ liệu khách hàng
hoặc thông tin kinh doanh chiến lược.
 Thù hận hoặc phản đối: Có thể có những cá nhân hoặc tổ chức không hài
lòng với một công ty hoặc ngành công nghiệp nào đó và muốn gây tổn hại
bằng cách tấn công mạng.

Ví dụ, một công ty bán lẻ trực tuyến có thể trở thành mục tiêu của một cuộc
tấn công tài chính như "phishing" hoặc "pharming". Trong một kịch bản
"phishing", kẻ tấn công có thể gửi email giả mạo nhằm lừa đảo người dùng vào
cung cấp thông tin cá nhân như thông tin tài khoản ngân hàng. Trong trường hợp
"pharming", kẻ tấn công có thể sử dụng các phương tiện gian lận để điều hướng
người dùng đến các trang web giả mạo để thu thập thông tin cá nhân. Điều này có
thể dẫn đến mất mát tài chính cho công ty và danh tiếng bị ảnh hưởng nghiêm
trọng.

2. Do you think there should be different security standards for the cloud
based on the type of data that is being stored or processed? Why do you think
that? Give an example. How do you think security differs between data stored
in the cloud and data stored on premises?

 Tôi tin rằng việc áp dụng các tiêu chuẩn bảo mật khác nhau cho đám mây
dựa trên loại dữ liệu đang được lưu trữ hoặc xử lý là cần thiết. Điều này là vì mỗi
loại dữ liệu có mức độ nhạy cảm và nguy cơ riêng biệt, và việc áp dụng các biện
pháp bảo mật phù hợp sẽ giúp giảm thiểu rủi ro và bảo vệ thông tin hiệu quả hơn.

Ví dụ, dữ liệu y tế hoặc thông tin cá nhân nhạy cảm như thông tin tài khoản
ngân hàng cần yêu cầu mức độ bảo mật cao hơn so với dữ liệu không nhạy cảm
như tài liệu công việc thông thường. Trong trường hợp này, việc sử dụng các biện
pháp bảo mật như mã hóa mạnh mẽ, kiểm soát truy cập nghiêm ngặt và các công
nghệ xác thực đa yếu tố có thể là cần thiết.

Sự khác biệt về bảo mật giữa dữ liệu được lưu trữ trên đám mây và dữ liệu
được lưu trữ tại chỗ chủ yếu nằm ở việc quản lý bảo mật. Trong trường hợp dữ liệu
được lưu trữ trên đám mây, người dùng thường dựa vào nhà cung cấp dịch vụ đám
mây để quản lý bảo mật, trong khi dữ liệu lưu trữ tại chỗ thường yêu cầu doanh
nghiệp tự chịu trách nhiệm về việc triển khai và duy trì các biện pháp bảo mật. Tuy
nhiên, cả hai loại lưu trữ đều đòi hỏi sự chú ý đến việc triển khai các biện pháp bảo
mật phù hợp để ngăn chặn các mối đe dọa mạng tiềm ẩn.

3. What character traits do you think a successful cloud security

administrator would need? Why? Would this be a role that you would be
interested in?
  Một quản trị viên bảo mật đám mây thành công cần có những đặc điểm
tính cách sau:

 Kiến thức sâu rộng về bảo mật mạng: Để hiểu và triển khai các biện pháp
bảo mật hiệu quả cho môi trường đám mây.
 Kỹ năng phân tích và giải quyết vấn đề: Để nhận biết và xử lý các vấn đề
bảo mật một cách nhanh chóng và chính xác.
 Khả năng làm việc độc lập và làm việc nhóm: Để triển khai các biện pháp
bảo mật một cách hiệu quả và hợp tác với các bộ phận khác trong tổ chức.
 Sự cẩn thận và tỉ mỉ: Để đảm bảo rằng tất cả các thiết lập bảo mật được thực
hiện chính xác và không có lỗ hổng nào.
 Kỹ năng giao tiếp tốt: Để truyền đạt thông tin về bảo mật một cách rõ ràng
và hiệu quả cho các bên liên quan.
 Khả năng tiếp tục học và cập nhật kiến thức: Bảo mật mạng là một lĩnh vực
phát triển nhanh chóng, vì vậy quản trị viên bảo mật đám mây cần liên tục
cập nhật và mở rộng kiến thức của mình.
 Kỹ năng quản lý thời gian và ưu tiên công việc: Để quản lý các nhiệm vụ
bảo mật một cách hiệu quả trong môi trường làm việc đầy áp lực.

Với những đặc điểm trên, vai trò của một quản trị viên bảo mật đám mây là
một vai trò rất quan trọng và có thể rất hấp dẫn. Tuy nhiên, việc quản lý bảo mật
đòi hỏi sự cam kết và kiên nhẫn để đối mặt với các thách thức ngày càng phức tạp
của môi trường mạng ngày nay. Đối với tôi, nếu có cơ hội, đây có thể là một vai trò
thú vị để khám phá và phát triển sự nghiệp trong tương lai.
 Module 9: Monitoring the Cloud
1. Thuật ngữ

Amazon CloudWatch (Đồng hồ đám mây Amazon): Dịch vụ giám sát để

giám sát tài nguyên AWS của bạn và các ứng dụng bạn chạy trên AWS.

AWS CloudTrail: Dịch vụ giám sát và ghi lại mọi hành động được thực
hiện trên tài khoản AWS của bạn vì mục đích bảo mật.

AWS Config: Dịch vụ cho phép bạn đánh giá, kiểm tra và đánh giá cấuhình
tài nguyên AWS của bạn.

Amazon Simple Notification Service (Amazon SNS): Một công cụ AWS

cho phép bạn gửi văn bản, email và tin nhắn đến các dịch vụ đám mây khác cũng
như gửi thông báo dưới nhiều hình thức khác nhau từ đám mây đến máy khách.

2. Nội dung

AWS cung cấp nhiều dịch vụ được kết nối với nhau, cung cấp nền tảng phức
tạp để hoàn thành các nhiệm vụ trên đám mây. Khi các doanh nghiệp phát triển, họ
có thể chạy nhiều tài khoản AWS được kết nối với nhau. Mỗi tài khoản có thể chạy
hàng chục phiên bản xử lý hàng nghìn gigabyte dữ liệu, phục vụ hàng triệu người
và trị giá hàng tỷ đô la. Bất kể quy mô của công ty, việc giám sát và theo dõi các
dịch vụ đám mây của bạn là điều cần thiết. Điều này giúp bạn đảm bảo rằng tất cả
tài sản trên đám mây đều hoạt động trơn tru và biết được nếu có điều gì bất thường
xảy ra.
 AWS cung cấp các công cụ mạnh mẽ để giám sát tất cả các dịch vụ đám
mây. Các công cụ này phối hợp với nhau để cung cấp một bộ dịch vụ hỗ trợ kiến
thức cho người dùng đám mây.

CloudWatch là dịch vụ giám sát để giám sát tài nguyên AWS của bạn và
các ứng dụng bạn chạy trên AWS.

CloudTrail và CloudWatch đều là dịch vụ giám sát đám mây nhưng chúng
thực hiện các chức năng khác nhau:

 CloudTrail giám sát và ghi lại tất cả hành động mà người dùng đã thực hiện
trong một tài khoản AWS nhất định. Điều này có nghĩa là CloudTrail ghi
nhật ký mỗi khi ai đó tải dữ liệu lên, chạy mã, tạo phiên bản Amazon Elastic
Computer Cloud (Amazon EC2) hoặc thực hiện bất kỳ hành động nào khác.
 CloudWatch giám sát tất cả các dịch vụ khác nhau đang làm gì và chúng
đang sử dụng tài nguyên nào. CloudTrail ghi lại các hoạt động, trong khi
CloudWatch giám sát các hoạt động. CloudWatch giúp bạn đảm bảo rằng
các dịch vụ đám mây của bạn hoạt động trơn tru. Các dịch vụ cũng có thể
giúp bạn không sử dụng nhiều hoặc ít tài nguyên hơn bạn mong đợi, điều
này rất quan trọng đối với việc theo dõi ngân sách.

AWS Config là dịch vụ cho phép bạn đánh giá, kiểm tra và đánh giá cấu
hình tài nguyên AWS của mình. AWS Config liên tục giám sát và ghi lại cấu hình
tài nguyên AWS của bạn, đồng thời cho phép bạn tự động đánh giá các cấu hình đã
ghi theo cấu hình mong muốn.
For accessibility:

 Thay đổi cấu hình xảy ra trong tài nguyên AWS của bạn.
 AWS Config ghi lại và chuẩn hóa các thay đổi thành định dạng nhất quán.
AWS Config tự động đánh giá các cấu hình đã ghi theo cấu hình bạn chỉ
định. Truy cập lịch sử thay đổi và kết quả tuân thủ bằng bảng điều khiển
hoặc API. CloudWatch Events hoặc SNS thông báo cho bạn khi có thay đổi
xảy ra. Cung cấp lịch sử thay đổi và tệp ảnh chụp nhanh tới bộ chứa S3 của
bạn để phân tích.

Amazon SNS là cách AWS giao tiếp trong đám mây và với thế giới bên
ngoài. Khi một sự kiện được bắt đầu hoặc một chương trình cảnh báo AWS gửi
thông báo, Amazon SNS sẽ gửi tin nhắn đến người dùng hoặc các dịch vụ AWS
khác.

3. Questions
 1. What tools do you use to stay organized and keep track of your life,
work, and schedule? Why are these tools important? What kinds of tools
would be helpful to monitor or keep track of your resources in the cloud?

 Các công cụ mà tôi sử dụng để tổ chức và theo dõi cuộc sống, công việc
và lịch trình bao gồm:

 Ứng dụng lịch và quản lý thời gian: Để lập kế hoạch và theo dõi các sự kiện,
cuộc họp và nhiệm vụ quan trọng.
 Ứng dụng ghi chú và danh sách công việc: Để ghi lại ý tưởng, nhiệm vụ cần
hoàn thành và các công việc hàng ngày.
 Ứng dụng quản lý dự án: Để tổ chức và theo dõi tiến độ của các dự án lớn và
các nhiệm vụ phức tạp.

Những công cụ này quan trọng vì giúp tôi duy trì sự tổ chức, tăng cường
hiệu suất làm việc và giữ cho cuộc sống hàng ngày trở nên dễ dàng hơn.

Để giám sát và theo dõi các tài nguyên trong đám mây, các công cụ quản lý
tài nguyên đám mây có thể rất hữu ích. Ví dụ, các dịch vụ quản lý tài nguyên đám
mây có thể cung cấp thông tin về việc sử dụng tài nguyên, giúp quản trị viên đám
mây tối ưu hóa chi phí và quản lý hiệu suất hệ thống một cách hiệu quả.

2. Have you ever missed or been late to an event you had scheduled, or
forgotten an assignment? What happened? How might you have prevented
the error? Do you think a similar error might happen when using cloud
services with AWS? How might this be prevented?

 Có, tôi từng bỏ lỡ một vài sự kiện hoặc đến muộn đối với các cuộc họp
đã lên lịch, và đã quên một số nhiệm vụ. Những lỗi này thường xảy ra khi tôi
không thiết lập báo thức hoặc không cập nhật lịch trình của mình đúng cách. Để
ngăn chặn lỗi này, tôi có thể sử dụng ứng dụng lịch và ghi chú hàng ngày để thiết
lập cảnh báo và theo dõi nhiệm vụ.

Tương tự, các lỗi tương tự có thể xảy ra khi sử dụng dịch vụ đám mây với
AWS nếu không quản lý tài nguyên một cách chính xác. Để ngăn chặn điều này,
quản trị viên cần thiết lập cảnh báo và giám sát sử dụng tài nguyên, sử dụng các
dịch vụ quản lý tài nguyên đám mây như AWS CloudWatch để theo dõi và cảnh
báo về mức độ sử dụng tài nguyên và các sự kiện quan trọng trong hệ thống.

3. A cell phone company uses AWS to let users download mobile apps that
let them print remotely from their devices. What data points do you think this
company needs to keep track of in their cloud services? Why?

 Công ty điện thoại di động cần theo dõi các điểm dữ liệu sau trong dịch
vụ đám mây của họ:

 Thông tin tài khoản người dùng: Bao gồm tên người dùng, địa chỉ email,
thông tin thanh toán và lịch sử mua hàng để quản lý tài khoản và hỗ trợ
khách hàng.
 Dữ liệu về thiết bị và ứng dụng: Bao gồm loại thiết bị, phiên bản hệ điều
hành, ứng dụng đã tải xuống và cấu hình thiết bị để tối ưu hóa trải nghiệm
người dùng và hỗ trợ kỹ thuật.
 Dữ liệu về việc in ấn: Bao gồm lịch sử các yêu cầu in ấn, loại tài liệu in và
kết quả in để cung cấp dịch vụ in ấn từ xa cho người dùng.

Quản lý các điểm dữ liệu này giúp công ty duy trì hoạt động trơn tru, cung
cấp dịch vụ chất lượng và đảm bảo bảo mật thông tin cá nhân của người dùng.