AWS Cloud Security Mindmap

AWS Cloud Security Mindmap: Cẩm nang cho Pentester, Red Teamer và Cloud Engineer
Trong AWS, ranh giới giữa an toàn tuyệt đối và thảm hoạ mong manh đến không ngờ. Một IAM Policy được cấu hình thiếu chặt chẽ. Một S3 bucket vô tình để public. Hay một EC2 instance metadata service (IMDS) không được bảo vệ đúng cách.
Tất cả đều có thể trở thành "chìa khoá vàng" cho kẻ tấn công.
Hãy để Mindmap này trở thành la bàn giúp bạn định hướng trong ma trận phức tạp của AWS Cloud Security. Từ những khái niệm cơ bản nhất, đến các kỹ thuật tấn công hiện đại nhất.
🤔 Vì sao AWS Cloud Security cần được ưu tiên hàng đầu?
AWS đã trở thành xương sống cho vô số ứng dụng, từ startup nhỏ đến tập đoàn lớn. Thế nhưng, việc di chuyển lên cloud cũng mở ra vô số lỗ hổng tiềm tàng. Với mindmap này, bạn sẽ nhìn thấy bức tranh tổng thể để:
- Tránh “lạm quyền” Root Account,
- Quản lý vai trò (Role), người dùng (User), nhóm (Group) thông qua IAM,
- Và nắm được những chiêu tấn công phổ biến (Common Attack Vectors).
Dù bạn là Cloud Engineer muốn dựng hệ thống an toàn, hay Pentester, Red Teamer đang tìm lỗ hổng, việc nắm vững AWS Cloud Security là chìa khóa giảm thiểu rủi ro và bảo vệ ứng dụng bền vững hơn.
🔑 Root Account: Chìa khóa vũ trụ của AWS
Root Account là tài khoản được tạo ngay khi khởi tạo AWS. Nó sở hữu quyền lực tuyệt đối—giống như “tổng tư lệnh.” Nếu kẻ xấu chiếm được, toàn bộ hạ tầng AWS của bạn bị rơi vào tay chúng. Hãy:
- Hạn chế dùng Root Account hằng ngày,
- Bật Multi-Factor Authentication (MFA),
- Không tạo Access Key cho tài khoản Root nếu không thật sự cần.
🏷️ IAM Users, Groups, Roles
Để thay thế Root Account trong công việc thường ngày, AWS có IAM:
- User: Mỗi người dùng có credential (username/password, access key).
- Group: Gom nhiều user thành một “nhóm,” quản lý quyền một cách tiện lợi.
- Role: Dạng quyền tạm thời, không cố định credentials. Khi ai đó “assume role,” họ sẽ có bộ thông tin đăng nhập tạm, dùng cho các tác vụ ngắn hạn hoặc cross-account.
Với IAM, bạn áp dụng nguyên tắc Least Privilege (chỉ cấp quyền đúng việc) để giảm thiểu rủi ro “lạm quyền.”
📚 ARN: Ngôn ngữ định danh mọi tài nguyên AWS
ARN (Amazon Resource Name) là định danh duy nhất của mọi đối tượng trên AWS, từ một user, role, đến một S3 bucket. Trong policy, ARN giúp khoanh vùng chính xác tài nguyên, tránh trường hợp “mở toang cửa” cho tất cả.
- Ví dụ:
arn:aws:iam::123456789012:user/johndoe
là ARN chỉ đích danh một user. - Cấu trúc:
arn:partition:service:region:account-id:resource-type/resource-id
🛡️ Policy & Authorization: Ai được làm gì?
Sau khi “xác thực” (authentication) thành công, AWS kiểm tra “authorization” qua policy. Có ba loại chính:
- Identity-based Policy: Gắn trực tiếp vào user, group, hoặc role, quy định cho họ được (hoặc bị) làm gì.
- Resource-based Policy: Gắn lên tài nguyên, quy định ai được phép truy cập nó.
- Permission Boundaries: Giới hạn quyền tối đa cho user/role.
Quy tắc xử lý: nếu Policy có “Deny” rõ ràng, request bị chặn. Nếu có “Allow,” request được chấp thuận. Bằng không, mặc định từ chối.
🕵️ Common Attack Vectors: Các "chiêu" tấn công bạn cần biết
Dù AWS bảo mật tốt, kẻ xấu luôn tìm sơ hở:
- Credential Theft: Lấy cắp Access Key/Secret Key hoặc session token.
- Privilege Escalation: Sửa policy, thay đổi role để “leo quyền.”
- Data Exfiltration: Sao chép dữ liệu từ S3, RDS snapshot… ra ngoài.
- Persistence: Tạo user ẩn, thêm role backdoor, hoặc chỉnh Lambda function.
🚀 Kết luận: Tận dụng mindmap tối đa
Mindmap AWS Cloud Security cho bạn cái nhìn toàn diện về Root Account, IAM (User, Group, Role), ARN, Policy lẫn các kịch bản tấn công. Nếu bạn là Pentester/Red Teamer, hãy dùng nó để vạch ra điểm yếu. Nếu bạn là Cloud Engineer, mindmap này giúp tổ chức IAM và policy tinh gọn, tránh rủi ro. Khi nắm vững bức tranh này, bạn sẽ xây dựng hệ thống vừa an toàn, vừa linh hoạt, sẵn sàng mở rộng tính năng cho tương lai.