- Tác giả
- Name
- Nguyễn Đức Xinh
- Ngày xuất bản
- Ngày xuất bản
Mô hình Shared Responsibility của AWS & Acceptable Use Policy (AUP): Hiểu đúng trách nhiệm bảo mật trên cloud
Tổng quan
Khi chuyển hệ thống lên cloud, câu hỏi lớn luôn là: "Ai chịu trách nhiệm bảo mật cái gì?" Trên AWS, câu trả lời nằm trong nguyên tắc cốt lõi gọi là Shared Responsibility Model. Bên cạnh đó là Acceptable Use Policy (AUP) — chính sách quy định các hành vi bị cấm trên hạ tầng AWS.
Bài viết này giúp bạn hiểu rõ cả hai, kèm bảng so sánh và checklist triển khai an toàn.
Shared Responsibility Model là gì?
Shared Responsibility Model của AWS là một khung bảo mật phân chia trách nhiệm bảo mật đám mây giữa AWS và khách hàng. Hãy coi nó như một hợp đồng rõ ràng xác định ranh giới bảo mật giữa những gì AWS quản lý và những gì bạn, với tư cách là khách hàng, phải bảo mật.
Nguyên tắc cốt lõi
Mô hình này có thể được tóm tắt trong hai cụm từ chính:
CUSTOMER → Responsible for security IN the cloud
AWS → Responsible for security OF the cloud
Sự phân biệt này có vẻ đơn giản, nhưng việc hiểu rõ các sắc thái là rất quan trọng để duy trì một môi trường đám mây an toàn.
- Security OF the cloud: Những gì thuộc về hạ tầng vận hành cloud do AWS đảm nhiệm.
- Security IN the cloud: Những gì bạn cấu hình và vận hành bên trong tài khoản/dịch vụ AWS.
AWS – Security OF the Cloud
AWS chịu trách nhiệm bảo vệ cơ sở hạ tầng vận hành tất cả các dịch vụ được cung cấp trên Đám mây AWS. Bao gồm:
- Hạ tầng (infrastructure) vận hành mọi dịch vụ AWS Cloud
- Data centers vật lý, networking, phần cứng: Kiểm soát giám sát, môi trường (nguồn điện, hệ thống làm mát, hệ thống phòng cháy chữa cháy), Bảo trì và thay thế phần cứng máy chủ
- Nền tảng phần mềm cho compute (EC2), storage (S3), database (RDS) và các managed services khác
- Ảo hóa và Hệ điều hành Máy chủ: Bảo mật Máy ảo hóa, các bản vá và cập nhật hệ điều hành máy chủ, cấu hình và củng cố Máy ảo hóa.
- Tuân thủ và Chứng nhận: AWS duy trì các chứng chỉ và tuân thủ quy định như: ISO, SOC, PCI-DSS, HIPAA, GDPR, ...
Bạn – Security IN the Cloud
Với vai trò khách hàng, bạn chịu trách nhiệm:
- Bảo mật dữ liệu và mã hóa (data security & encryption)
- Identity and Access Management (IAM): users, roles, policies
- Cấu hình an toàn cho các dịch vụ (S3, EC2, RDS, ...)
- Ứng dụng: secure coding, bảo vệ API, kiểm soát secret
- Backup, và compliance trong phạm vi sử dụng của bạn
Lưu ý: Cấu hình sai (ví dụ mở public một S3 bucket) là trách nhiệm của bạn, không phải AWS.
AWS Acceptable Use Policy (AUP)
Ngoài Shared Responsibility, AWS áp dụng Acceptable Use Policy — chính sách quy định các hành vi không được phép trên hạ tầng của AWS.
Đọc đầy đủ tại: https://aws.amazon.com/aup/
Các hoạt động bị cấm
- Hoạt động hoặc Nội dung bất hợp pháp, gian lận, có hại hoặc xúc phạm (Illegal, fraudulent, Harmful, Offensive Use or Content)
- Đe dọa(threaten), kích động(incite), cổ vũ(promote) hoặc khuyến khích(encourage) bạo lực(violence), khủng bố(terrorism), hoặc gây hại nghiêm trọng(serious harm)
- Lưu trữ/phân phối nội dung độc hại, bạo lực, cổ vũ hận thù, lạm dụng hoặc hành vi phạm pháp, các hoạt động cổ xúy(promotes) bóc lột(abuse)/lạm dụng tình dục(sexual exploitation) trẻ em
- Vi phạm quyền của người khác (violate the rights of others)
- Vi phạm bảo mật (Security Violations)
- Cấm truy cập trái phép vào hệ thống/dịch vụ/dữ liệu, Cấm quét, dò tìm, phá vỡ an ninh mạng
- Vi phạm tính bảo mật(security), tính toàn vẹn(integrity), hoặc tính khả dụng(availability) của bất kỳ người dùng, mạng, máy tính hoặc hệ thống truyền thông(communications system), ứng dụng phần mềm, hoặc thiết bị mạng hoặc máy tính nào.
- Lạm dụng mạng (Network Abuse)
- DDoS, spoofing(giả mạo), lạm dụng băng thông
- Gây gián đoạn mạng hoặc ảnh hưởng người dùng khác
- Lạm dụng Email/Message (Email/Message Abuse)
- Gửi email không mong muốn (SPAM), Phishing(lừa đảo), email spoofing(giả mạo), thủ thuật lừa đảo
- Phân phối(distribute), xuất bản(publish), gửi, hoặc hỗ trợ(facilitate) gửi email hàng loạt không được yêu cầu(unsolicited mass email) hoặc các tin nhắn, chương trình khuyến mãi(promotions), quảng cáo(advertising), chào mời(solicitations) (spam)
Tại sao quan trọng?
Nắm rõ Shared Responsibility và AUP giúp bạn:
- Tránh sự cố bảo mật và rò rỉ dữ liệu
- Tuân thủ tiêu chuẩn ngành và pháp luật
- Tránh bị khóa/suspend tài khoản hoặc chế tài từ AWS
- Xây dựng ứng dụng cloud đáng tin cậy, bảo mật, bền vững
Bảng so sánh trách nhiệm
| Hạng mục trách nhiệm | Bên chịu trách nhiệm |
|---|---|
| Physical Infrastructure | AWS |
| Data Center Security | AWS |
| Hardware & Network | AWS |
| OS & Platform Software | AWS |
| Application Code | Customer |
| Data Management & Encryption | Customer |
| IAM & Access Controls | Customer |
| Service Configurations | Customer |
Checklist nhanh
- Bật MFA cho tất cả human users; dùng IAM Roles thay vì Access Keys trong ứng dụng
- Áp dụng Least Privilege; tránh wildcard "*" cho Action/Resource nếu không cần
- Dùng AWS Config, CloudTrail, GuardDuty để giám sát & audit
- Kiểm tra S3 public access, security group inbound, secret trong code
- Sử dụng Policy Simulator/Access Analyzer để xác thực policy
Nguồn tài nguyên
- Tìm hiểu thêm: https://aws.amazon.com/compliance/shared-responsibility-model/
- Rà soát IAM roles/permissions và quyền public của S3
- Đọc và tuân thủ AUP: https://aws.amazon.com/aup/