Coursera

1. Academy Lab Projects Cloud Security
Builder
Đặng Nhất Nhất
Cloud Security Builder
8/6/2025

2. 2
Business scenario overview
Vấn đề hoặc cơ hội (Problem or opportunity statement)
• Tình huống : “Dự Án Nhóm Đám Mây" của Sinh Viên CNTT
• Vấn đề hiện tại :
• Rối rắm với quyền truy cập (IAM): Ai được truy cập gì? Làm sao để chỉ cho phép bạn
A truy cập database, bạn B truy cập server mà không nhầm lẫn hay cấp quyền quá
nhiều? .
• Lo lắng về bảo mật dữ liệu: Làm sao để chắc chắn dữ liệu của dự án được mã hóa và
không bị lộ ra ngoài? .
• Quản lý tường lửa (Security Groups) lộn xộn: Mỗi người tự tạo Security Group, dẫn
đến việc không đồng bộ, dễ bị trùng lặp hoặc mở nhầm cổng, tạo lỗ hổng bảo mật.
• Mất thời gian: Phải mày mò từng dịch vụ, mất nhiều thời gian cấu hình bảo mật thay
vì tập trung vào việc code chính của ứng dụng.

3. 3
Business scenario overview
• Cơ hội với "Cloud Security Builder":
• Tự động hóa bảo mật: Chỉ cần khai báo "cần bảo mật gì", hệ
thống sẽ tự động cấu hình IAM, Security Groups, mã hóa dữ liệu
theo chuẩn.
• Đảm bảo an toàn dự án: Giúp dự án của bạn an toàn hơn, tránh
các lỗi bảo mật cơ bản.
• Tiết kiệm thời gian: Tập trung vào việc phát triển tính năng ứng
dụng, không còn phải đau đầu với cấu hình bảo mật.
• Học hỏi thực tiễn: Hiểu rõ hơn về các thực tiễn bảo mật tốt nhất
của AWS một cách dễ dàng.

4. 4
Business scenario overview
• Yêu cầu giải pháp (Solution Requirements)
• Mục tiêu:
• Xây dựng một công cụ tự động hóa (Proof of Concept - PoC) trên AWS Cloud để triển khai các
dịch vụ bảo mật thiết yếu theo các thực tiễn tốt nhất của AWS.
• Giúp người dùng đơn giản hóa quá trình thiết lập và quản lý bảo mật, giảm thiểu rủi ro từ
các cấu hình sai hoặc thiếu sót.
• Yêu cầu kỹ thuật:
• Chức năng (Functional):
• Tự động cấu hình các chính sách và tài nguyên IAM (người dùng, vai trò, chính sách với quyền hạn tối thiểu).
• Tự động triển khai và cấu hình các Security Group và Network ACLs an toàn cho các tài nguyên VPC.
• Tự động kích hoạt và cấu hình mã hóa dữ liệu tĩnh và dữ liệu đang truyền (ví dụ: S3, EBS, RDS thông qua
KMS).
• Tự động kích hoạt các dịch vụ giám sát và phát hiện mối đe dọa (ví dụ: GuardDuty, CloudTrail).
• Tùy chọn triển khai các biện pháp bảo vệ mạng ứng dụng (ví dụ: AWS WAF).

5. 5
Business scenario overview
• Bảng điều khiển (Control Plane): Phải cung cấp cách thức dễ dàng (ví dụ: thông qua tham số
CloudFormation/CDK) để người dùng điều khiển và tùy chỉnh các thiết lập bảo mật mà không cần can
thiệp thủ công sâu.
• Khả năng mở rộng (Scalable): Thiết kế mô-đun để có thể mở rộng thêm các dịch vụ bảo mật hoặc tích
hợp với các môi trường AWS phức tạp hơn trong tương lai.
• Sẵn sàng cao (Highly Available): Sử dụng các dịch vụ AWS có sẵn sàng cao để đảm bảo công cụ triển
khai luôn khả dụng khi cần.
• Bảo mật (Secure):
• Chính bản thân công cụ (template CloudFormation, code CDK) phải được thiết kế theo các nguyên tắc bảo mật tốt nhất
(ví dụ: quyền hạn tối thiểu khi triển khai).
• Không chứa thông tin nhạy cảm được mã hóa cứng.
• Tối ưu chi phí (Cost Optimized): Thiết kế để triển khai các dịch vụ bảo mật một cách hiệu quả về chi phí,
tránh lãng phí tài nguyên không cần thiết.
• Hiệu suất cao (High Performing): Quá trình triển khai và cấu hình các tài nguyên bảo mật phải diễn ra
nhanh chóng, không gây chậm trễ đáng kể cho người dùng.
• Hỗ trợ người dùng: Cung cấp tài liệu và hướng dẫn rõ ràng để người dùng có thể dễ dàng triển khai và
xác minh các thiết lập bảo mật.

6. 6
Solution overview
• Tổng quan giải pháp (Solution Overview).
• Mục tiêu dự án:
• Xây dựng một công cụ tự động hóa (Proof of Concept - PoC) trên
AWS Cloud để triển khai và cấu hình các dịch vụ bảo mật thiết
yếu theo các thực tiễn tốt nhất.
• Giúp đơn giản hóa việc xây dựng hạ tầng bảo mật cho các dự
án đám mây, đặc biệt cho sinh viên và đội ngũ nhỏ.
• Nâng cao khả năng bảo vệ cho ứng dụng và dữ liệu trên AWS,
giảm thiểu rủi ro bảo mật do cấu hình sai hoặc thiếu sót.

7. 7
Solution overview
• Cách tiếp cận - Phát triển theo giai đoạn:
• Giai đoạn 1: Lập kế hoạch thiết kế và xác định các dịch vụ bảo mật cốt lõi.
• Xác định các thành phần bảo mật AWS (IAM, VPC Security, Data Encryption, Threat Detection) cần được tự động
hóa.
• Lựa chọn công cụ tự động hóa chính (AWS CloudFormation/CDK).
• Giai đoạn 2: Phát triển các mô-đun CloudFormation/CDK cơ bản.
• Xây dựng các template/module riêng lẻ cho từng dịch vụ bảo mật (ví dụ: một module cho IAM, một module cho
Security Groups).
• Giai đoạn 3: Tích hợp các mô-đun và tạo ra giải pháp tổng thể.
• Kết hợp các template/module riêng lẻ thành một giải pháp triển khai chung.
• Đảm bảo khả năng tham số hóa và tùy chỉnh cho người dùng.
• Giai đoạn 4: Kiểm thử, tài liệu hóa và tối ưu hóa.
• Kiểm tra tính đúng đắn của các cấu hình bảo mật được triển khai.
• Tạo tài liệu hướng dẫn sử dụng chi tiết.
• Tối ưu hóa về hiệu năng và chi phí.

8. 8
Solution overview
• Chức năng chính của "Cloud Security Builder":
• Tự động cấu hình IAM: Thiết lập vai trò, chính sách, người dùng
với quyền hạn tối thiểu.
• Thiết lập Bảo mật VPC: Tự động cấu hình Security Groups và
NACLs an toàn.
• Mã hóa dữ liệu: Triển khai AWS KMS và đảm bảo mã hóa cho S3,
EBS, RDS.
• Phát hiện mối đe dọa: Kích hoạt và cấu hình Amazon GuardDuty,
AWS CloudTrail để giám sát.
• Bảo vệ ứng dụng web: Cấu hình AWS WAF cơ bản để chống lại
các tấn công phổ biến.

9. 9
Architecture diagram of the solution
Quan điểm về Sơ đồ kiến trúc cho "Cloud Security Builder":
Sơ đồ kiến trúc của chúng tôi sẽ tập trung minh họa cách
"Cloud Security Builder" tự động hóa việc thiết lập bảo mật
trên AWS.
Tâm điểm: AWS CloudFormation (hoặc CDK) là trung tâm, đại
diện cho "Builder".
Đầu vào: Người dùng/sinh viên khởi tạo quá trình.
Đầu ra: Các dịch vụ bảo mật AWS cốt lõi (IAM, VPC Security,
KMS, GuardDuty, CloudTrail, WAF) được tự động cấu hình theo
các thực tiễn tốt nhất.
Liên hệ: Sơ đồ này trực tiếp thể hiện các trụ cột Security và
Operational Excellence của AWS Well-Architected Framework,
bằng cách tự động hóa triển khai các lớp bảo vệ và đảm bảo
tính nhất quán.
Mục tiêu: Cho thấy sự đơn giản và hiệu quả trong việc xây
dựng nền tảng bảo mật cho các dự án đám mây. vẽ sơ đồ
diagram ra cho tôi

10. 10
Architecture diagram of the solution: Example

11. 11
Demo • Include the link to the demo materials.

12. 12
Lessons learned
• . Phase 1 – Yêu cầu chính (ngắn gọn để đưa vào slide):
• Giới hạn quyền truy cập S3 bucket chỉ cho nhóm Account
Manager (Paulo có quyền, Mary không).
• Bật versioning cho các bucket.
• Bật object access logging.
• Mã hóa dữ liệu bằng SSE-S3 (server-side encryption với khóa do
S3 quản lý).
• Bật Amazon S3 Inventory để theo dõi tất cả file trong bucket.
• 👉 Mục tiêu: Bảo vệ dữ liệu PII và thiết lập kiến trúc giám sát truy
cập, versioning và kiểm kê dữ liệu.

13. 13
Lessons learned
• Nhiệm vụ 1.1: Tạo một thùng, áp dụng chính sách thùng và kiểm
tra quyền truy cập

14. 14
Lessons learned
https://gist.github.com/GowShrek/2fc
674559549afad39d66108b080bdfc
Source Code của Bucket Policy của
Data Bucket đã được tạo ở trên.

15. Người dùng “Paulo “ có thể truy cập data-bucket nhưng không truy cập các
bucket khác .
Lessons learned

16. 16
Lessons learned
Người dung “Mary” không thể truy cập bất cứ bucket nào ,
thấy lỗi “Insufficient permissions “

17. 17
Lessons learned
• Nhiệm vụ : Quản lý Quyền truy cập S3 Bucket.
- Tạo S3 Bucket và Tải lên đối tượng :
+ Tạo data-bucket-0183e7339eeaeabe8 ở US-East-1.
+ Tải lên một tệp bất kì ( Ví dụ : myfile.txt) vào bucket này .
- Áp dụng chính sách Bucket ( Bucket Policy )
+ Thiết lập chính sách cho data-bucket ;
- Cho phép truy cập S3 cho voclabs , Paulo , Mary và Sofia
- Từ chối truy cập S3 cho tất cả các principal khác.
-Kiểm tra Quyền truy cập của người dung :
+ Người dùng Paulo truy cập được ( nhưng không truy cập được bucket
khác )
+ Người dùng Mary không truy cập được bất kỳ bucket nào ( hiện lỗi ).

18. 18
Lessons learned

19. 19
Lessons learned
Nhiệm vụ Task 1.2: Kích hoạt Phiên bản hóa và Ghi nhật ký Đối tượng trên
S3 Bucket :
1.Kích hoạt Phiên bản hóa (Versioning):
•Bật tính năng Versioning cho data-bucket-0183e7339eeaeabe8 để theo
dõi các phiên bản đối tượng.
2.Kích hoạt Ghi nhật ký Truy cập Máy chủ (Server Access Logging):
•Cấu hình data-bucket-0183e7339eeaeabe8 để gửi nhật ký truy cập đến
s3-objects-access-log bucket.
•Đặt tiền tố /data-bucket cho đường dẫn đích trong bucket nhật ký.
3.Xác minh Chính sách Bucket nhật ký:
•Kiểm tra để đảm bảo chính sách của s3-objects-access-log bucket đã
được cập nhật để cho phép dịch vụ S3 ghi nhật ký vào đó

20. 20
Lessons learned
Nhiệm vụ: Triển khai Tính năng S3 Inventory trên Bucket ( Task 1.3)
1.Kích hoạt S3 Inventory:
•Bật tính năng S3 Inventory trên data-bucket-0183e7339eeaeabe8 (trong tab Management)
.
2.Cấu hình S3 Inventory:
•Tên cấu hình: Inventory
•Phiên bản đối tượng: Bao gồm tất cả các phiên bản đối tượng.
•Bucket đích báo cáo: s3-inventory bucket.
•Định dạng đầu ra: Apache Parquet.
•Trường siêu dữ liệu bổ sung: Chọn tất cả sáu trường siêu dữ liệu đối tượng.

21. 21
Lessons learned
1.Task 1.4 Nhiệm vụ: Xác nhận Phiên bản hóa hoạt động
Tạo tệp customers.csv (phiên bản 1):
1. Tạo tệp customers.csv với 2 hàng dữ liệu mẫu.
2.Tải lên customers.csv (phiên bản 1) với người dùng paulo:
•Đăng nhập với người dùnTạo tệp customers.csv (phiên bản 1):
•Tạo tệp customers.csv với 2 hàng dữ liệu mẫu.
•Tải lên customers.csv (phiên bản 1) với người dùng paulo:
•Đăng nhập với người dùng paulo.
•Tải tệp customers.csv lên data-bucket.
•Xác nhận tệp được mã hóa bằng SSE-S3.
•Kiểm tra số lượng phiên bản (ban đầu):
•Kiểm tra số lượng phiên bản của customers.csv (chỉ có 1).
1. g paulo.
2. Tải tệp customers.csv lên data-bucket.

22. 22

23. 23

24. 24

25. 25

26. 26

27. 27

28. 28

29. 29

30. 30

31. 31

32. 32

33. 33

34. 34

35. 35

36. 36

37. 37

38. 38

39. 39

40. 40

41. 41

42. 42

43. 43

44. 44

45. 45

46. 46

47. 47

48. 48

49. 49

50. 50

51. 51

52. 52

53. 53

54. 54

55. 55

56. 56

57. 57

58. 58

59. 59

60. 60

61. 61

62. 62

63. 63

64. 64

65. 65

66. 66

67. Thank you