RobustX / Chương trình học / Vị trí công việc / AWS Cloud Engineer / Bảo Mật Cho AWS Cloud Engineer

Bảo Mật Cho AWS Cloud Engineer

Khóa học “Bảo mật AWS Cloud” cung cấp cho học viên một kiến thức toàn diện và thực chiến về cách thiết kế, triển khai, kiểm soát và giám sát bảo mật trong môi trường AWS. Các chủ đề bao phủ từ IAM, mã hóa, bảo mật mạng, giám sát, đến bảo mật serverless, container và quản trị nhiều tài khoản ở quy mô doanh nghiệp.

Khóa học đặt trọng tâm vào thực hành và mô hình kiến trúc thật, chuẩn bị cho học viên sẵn sàng vận hành hệ thống Cloud bảo mật ở môi trường doanh nghiệp hoặc đạt các chứng chỉ bảo mật AWS nâng cao (như Security Specialty sau này).

Thời lượng: 30h

Bạn đạt được gì sau khi hoàn thành khóa học

Thiết kế và triển khai một chiến lược quản lý danh tính và truy cập an toàn, tập trung

Bạn sẽ làm chủ IAM với các chính sách phức tạp, áp dụng AWS OrganizationsControl Tower để quản lý quyền hạn trên hàng trăm tài khoản, và tích hợp định danh liên kết (Federated Identity).

Xây dựng một vành đai phòng thủ vững chắc cho hạ tầng mạng và ứng dụng

Học cách bảo vệ mạng VPC một cách chi tiết, và sử dụng các dịch vụ như AWS WAF, Shield, và Firewall Manager để chống lại các cuộc tấnADC DDoS và các lỗ hổng ứng dụng web phổ biến.

Mã hóa và bảo vệ dữ liệu ở mọi trạng thái (nghỉ và đang truyền)

Sử dụng thành thạo AWS KMS để quản lý vòng đời của khóa mã hóa, áp dụng mã hóa cho các dịch vụ như S3, EBS, RDS, và đảm bảo dữ liệu của bạn luôn được an toàn.

Chủ động phát hiện, điều tra và ứng phó với các mối đe dọa bảo mật

Triển khai GuardDuty, Macie, và Security Hub để tự động phát hiện các hành vi bất thường, và sử dụng Detective cùng các bản ghi từ CloudTrail, VPC Flow Logs để điều tra nguyên nhân gốc rễ.

Tự động hóa việc kiểm tra bảo mật và đảm bảo tuân thủ (compliance)

Sử dụng AWS ConfigAmazon Inspector để liên tục quét và đánh giá cấu hình hệ thống theo các tiêu chuẩn bảo mật như CIS, tự động phát hiện các sai lệch so với chính sách.

Xây dựng nền tảng toàn diện để chinh phục chứng chỉ AWS Certified Security – Specialty

Khóa học bao quát tất cả các lĩnh vực kiến thức và kỹ năng thực tiễn cần thiết, giúp bạn tự tin đạt được một trong những chứng chỉ chuyên sâu và danh giá nhất của AWS.

Đối tượng tham gia

Kỹ sư Đám mây (Cloud Engineer) muốn chuyên sâu vào lĩnh vực bảo mật, một trong những kỹ năng được trả lương cao và săn đón nhất trong ngành.

Kỹ sư DevOps (DevSecOps) có trách nhiệm “dịch trái” (Shift Left) bảo mật, cần tích hợp các công cụ và quy trình an ninh vào CI/CD pipeline và hạ tầng.

Chuyên gia Bảo mật (Security Professional) có kinh nghiệm với môi trường on-premise và muốn chuyển đổi kỹ năng của mình để bảo vệ hạ tầng trên nền tảng AWS.

Kiến trúc sư Giải pháp (Solutions Architect) cần thiết kế các hệ thống không chỉ đáp ứng về hiệu năng, chi phí mà còn phải tuân thủ các tiêu chuẩn bảo mật và pháp lý nghiêm ngặt.

Yêu cầu tiên quyết

  • Đã hoàn thành: 
    • AWS Cloud Practitioner 
    • SAA-C03 hoặc tương đương 
  • Có kiến thức nền tảng về: IAM, EC2, S3, RDS, VPC, CloudWatch

Nội dung khóa học

1. Introduction to Security in AWS Cloud
  • AWS Shared Responsibility Model 
  • Các nguyên tắc bảo mật cơ bản trong Cloud 
  • Mối liên kết giữa DevOps và Security (DevSecOps overview) 
  • Chiến lược ứng phó sự cố (incident response)
 2. Managing Identity and Access Control
  • IAM Users, Roles, Policies và Permissions Boundaries 
  • Sử dụng IAM Access Analyzer để phát hiện quyền truy cập dư thừa 
  • Multi-Factor Authentication (MFA) 
  • Ghi log và truy vết truy cập với AWS CloudTrail
3. Securing Web Application Architectures
  • Phân tích rủi ro trong kiến trúc 3-tier: Web – App – DB 
  • Rủi ro truy cập người dùng, bảo mật dữ liệu 
  • Sử dụng AWS Trusted Advisor để kiểm tra bảo mật tự động
4. Application Security at Scale
  • Harden AMI – tạo bản máy chủ an toàn 
  • Amazon Inspector: phân tích lỗ hổng và compliance tự động 
  • Cấu hình hệ thống an toàn với AWS Systems Manager
5. Data Protection and Encryption Best Practices
  • Mã hóa dữ liệu trong S3, RDS, DynamoDB, Glacier 
  • AWS KMS: Key Management Service – CMK, Key Policy 
  • S3 Access Analyzer, Access Point để kiểm soát truy cập chi tiết
6. Network Security and Traffic Protection
  • Best practices khi triển khai bảo mật mạng trong VPC 
  • VPC Traffic Mirroring để kiểm tra sâu gói tin 
  • Xử lý sự cố khi instance bị xâm nhập (compromised instance) 
  • AWS Certificate Manager (SSL) và tích hợp với Load Balancer
7. Centralized Monitoring and Logging
  • AWS CloudWatch: logs, metrics, alarm cho bảo mật 
  • AWS Config: theo dõi thay đổi cấu hình và compliance 
  • Amazon Macie: phát hiện dữ liệu nhạy cảm (PII) trong S3 
  • VPC Flow Logs, ELB Logs, S3 Access Logs
8. Log Processing and Analysis
  • Thu thập và phân tích log với Amazon Kinesis Data Firehose 
  • Sử dụng Amazon Athena để phân tích truy vấn log (SQL-like) 
  • Tích hợp logs vào Security Hub để xử lý tập trung
9. Securing Hybrid Cloud Architectures
  • Kết nối on-premises và AWS: VPN & Direct Connect 
  • AWS Transit Gateway để kiểm soát traffic giữa các vùng, tài khoản 
  • Best practices kết nối hybrid mà vẫn bảo mật và phân tách rõ
10. Building Global Resilience and DDoS Protection
  • Route 53 và CloudFront làm tuyến phòng vệ (edge protection) 
  • AWS Shield Standard & Advanced – chống DDoS layer 3/4/7 
  • AWS WAF – viết rule chống SQLi, XSS, DDoS app layer 
  • AWS Firewall Manager – tập trung policy toàn account/org
11. Serverless Security Practices
  • IAM cho Lambda: gán đúng permission, giới hạn quyền 
  • AWS Cognito: quản lý đăng nhập người dùng, OAuth, JWT 
  • Bảo mật API với API Gateway + WAF 
  • Lambda execution policy theo nguyên tắc least privilege
12. Threat Detection and Investigation
  • Amazon GuardDuty: phát hiện hành vi bất thường 
  • AWS Security Hub: tổng hợp cảnh báo từ các nguồn khác 
  • Amazon Detective: phân tích forensics để điều tra nguyên nhân
13. Secrets and Key Management
  • AWS KMS vs CloudHSM: tạo và quản lý khóa mã hóa 
  • AWS Secrets Manager: lưu, xoay vòng tự động credentials/API Key 
  • SSM Parameter Store vs Secrets Manager: dùng trường hợp nào
14. Automating Security by Design
  • Security by Design là gì? Lợi ích trong DevSecOps 
  • Tự động hóa bảo mật bằng AWS CloudFormation 
  • AWS Service Catalog: định chuẩn kiến trúc an toàn cho dev sử dụng
15. Governance and Account Management at Scale
  • AWS Organizations: quản lý nhiều tài khoản và OU 
  • AWS Control Tower: setup landing zone chuẩn bảo mật 
  • AWS SSO + Directory Services: định danh tập trung toàn account
16. Bài thực hành tổng hợp

Mini Project:
 Thiết kế hệ thống web 3-tier có độ an toàn cao:

  • EC2 backend, RDS, S3, Load Balancer 
  • IAM policy chuẩn theo nguyên tắc least privilege 
  • Enable GuardDuty, CloudTrail, Macie, Config 
  • Log centralized & phân tích bằng Athena 
  • Triển khai mã hóa toàn bộ dữ liệu lưu trữ và truyền tải 
  • Mô phỏng tình huống bị tấn công → phản ứng và khôi phục 

Bài viết liên quan