Một số service security thường gặp trong đề thi SAA
- May 9, 2022
- Posted by: Huyền Khánh
- Category: Uncategorized
Xin chào mọi người !! Mọi người chuẩn bị ôn thi Luyện thi chứng chỉ AWS-SAA tới đâu rồi nhỉ ? Mọi người nhớ cố gắng ôn thi trước khi AWS đổi từ đề SAA-C02 sang SAA-C03 nhé.
Hôm nay, chúng ta sẽ cùng thảo luận và ôn tập một chút về các dịch vụ Security trên AWS nhé
Đây là các dịch vụ sẽ rất thường hay hỏi trên đề thi AWS-SAA. Tuy nhiên, đối với những ai mới tham gia khóa học AWS, hoặc thậm chí ngay cả những người làm việc lâu năm với AWS, nhưng chỉ quen với các dịch vụ cơ bản như EC2, Beanstalk, RDS, VPC, IAM, … thì cũng có thể chưa từng nghe nói qua tới các dịch vụ này. Vậy mình cùng tìm hiểu xem đó là những dịch vụ nào nhé.
1. AWS IAM: Tất nhiên rồi. IAM luôn là tâm điểm của mọi Security thứ khi chúng ta bắt đầu học AWS. Tất cả mọi permission, quản lý IAM User, hay Permission đều nằm tại đây. Chúng ta sử dụng file JSON để có thể thiết lập các permission cần thiết. Khi tham gia khóa học AWS tại CodeStar, bạn sẽ được hướng dẫn chi tiết từng bước Labs trực tiếp trên IAM.
2. Amazon Macie: Macie là một dịch vụ giúp chúng ta thẩm định các thông tin lưu trữ trên S3. Bạn có khi nào lỡ để API key mà up lên S3 không ? Hoặc là các thông tin cá nhân ? Vậy thì Macie sẽ rất hữu dụng trong trường hợp này. Macie là một Service của AWS sẽ tự động detect các thông tin chúng ta đưa lên S3, và báo cho chúng ta biết liệu có đang để lộ thông tin nào không. Macie được hỏi tương đối nhiều trên đề thi AWS SAA. Thực ra dịch vụ này cũng không thường được nhắc tới nhiều như EC2 hay S3 hay VPC, nhưng khi đi thi các bạn đừng quên nhé. Trong lúc tham gia các khóa học AWS, đặc biệt là các khóa Luyện thi mọi người cũng nhớ lưu ý nội dung này nhé
3. AWS WAF: WAF chắc là quá quen thuộc với các bạn làm Web hay Infra rồi nhỉ. Đây là service gắn kèm vào ELB, giúp chúng ta tạo 1 lớp bảo mật. WAF – Web Application Firewall, chỉ cần nghe tên thôi, chúng ta cũng biết nó được sử dụng làm gì rồi nhỉ. WAF giúp chúng ta theo dõi và block các request HTTP, HTTPS. Với WAF, chúng ta có thể hạn chế được một số kiểu tấn công như XSS attack, SQL Injection, hay hạn chế Spam request. DOS, … Mặc dù không thể ngăn chặn hoàn toàn DOS, tuy nhiên WAF cũng là 1 phương án hợp lý để ngăn chặn các request lạ và không mong muốn được gửi tới hệ thống.
4. AWS Shield: AWS Shield có nhiệm vụ chủ đạo là ngăn chặn và hạn chế DDoS. Có 2 gói là AWS Shield Standard và AWS Shield Advanced. AWS Shield Standard bảo vệ khỏi hầu hết các cuộc tấn công DDoS ở tầng mạng và truyền tải xảy ra thường xuyên, phổ biến nhất, nhắm tới trang web hoặc ứng dụng của chúng ta. AWS cung cấp gói này miễn phí tới toàn bộ khách hàng của mình. Nếu chúng ta có nhu cầu bảo vệ hệ thống ở cấp độ cao hơn, những cuộc tấn công DDoS diện rộng, thì chúng ta có thể sử dụng gói AWS Shield Advanced. Gói này cho phép chúng ta nhận được hỗ trợ 24×7 từ đội hỗ trợ ứng phó của AWS (SRT), đồng thời cũng ngăn chặn hoặc giảm thiệt hại về chi phí gây ra bởi các cuộc tấn công này.
5. AWS Inspector: Đây là một dịch vụ của AWS có nhiệm vụ quản lý các lỗ hổng bảo mật cho hệ thống. Sử dụng dịch vụ này, AWS sẽ xem xét và tự động phát hiện 1 số lỗ hổng, hoặc 1 vài điểm có thể có các lỗ hổng bảo mật, điểm yếu dễ bị tấn công, và sắp xếp nó theo 1 bộ các tiêu chí đánh giá điểm số. Chúng ta gần như không phải thiết lập các thao tác gì nhiều, chỉ đơn giản là bật lên, và hệ thống sẽ tự động check. Đối tượng được check và thực hiện chủ yếu ở đây là EC2 instances.
6. AWS GuardDuty: Đây là dịch vụ giúp chúng ta theo dõi và xác định những truy cập có những hành động đáng ngờ trên tài khoản. Có quá nhiều truy cập kỳ lạ vào S3 ? Có nhiều request giống nhau cùng truy xuất vào hệ thống mà lại đều lỗi ? GuardDuty sẽ giúp các bạn phát hiện ra và phơi bày những hành động đó. Tất nhiên là chưa thể đến mức phân tích chi tiết như khi sử dụng AWS Detective. Nhưng GuardDuty hỗ trợ trong quá trình tìm kiếm root cause của vấn đề hoặc các lỗ hổng một cách toàn diện.
Thêm một lưu ý nhỏ cho mọi người đó là ngày 30/8/2022 tới đây AWS sẽ đổi bộ đề SAA-C02 sang SAA-C03, tỉ trọng giữa các module cũng sẽ có sự thay đổi. Vì thế bạn nào đang có ý định thi lấy chứng chỉ AWS-SAA thì nên cân nhắc có kế hoạch ôn thi sớm nhé.
Ngoài việc tự học AWS và tự ôn thì mọi người cũng có thể tham khảo các khóa học về AWS tại CodeStar qua link dưới đây nhé:
1. Khóa học AWS Cơ bản dành cho người mới bắt đầu: https://codestar.vn/product/aws-co-ban/
2. Khóa học Luyện thi chứng chỉ AWS – Solution Architect Associate: https://codestar.vn/product/luyen-thi-aws-solution-architect-associate/
3. Khóa học DevOps on AWS: https://codestar.vn/product/devops-on-aws/
Chúc mọi người sẽ tìm được khóa học AWS phù hợp và sớm có được chứng chỉ so-hot AWS-Solution Architect Associate và hơn hết là áp dụng được tất cả những kiến thức từ khóa học AWS hoặc khóa học DevOps on AWS vào trong công việc thực tế nhé.
Hẹn gặp lại mọi người ở bài viết tiếp theo.!!