Skip to content
Khoá học AWSSecurity & EncryptionCác dịch vụ bảo mật khác

Các dịch vụ bảo mật khác của AWS

AWS cung cấp nhiều dịch vụ bảo mật khác nhau, trong đó có ba dịch vụ chuyên biệt để giám sát, phân tích và bảo vệ dữ liệu & hạ tầng:

  • Amazon GuardDuty → Phát hiện mối đe doạ (threat detection).
  • Amazon Inspector → Đánh giá lỗ hổng bảo mật (vulnerability assessment).
  • Amazon Macie → Phân loại và bảo vệ dữ liệu nhạy cảm (data security).

Amazon GuardDuty là gì

Amazon GuardDuty là dịch vụ threat detection sử dụng machine learning, anomaly detection và threat intelligence để phát hiện các hoạt động độc hại hoặc trái phép trong AWS Environment.

Nguồn dữ liệu mà GuardDuty phân tích

  • AWS CloudTrail Logs (API activity).
  • VPC Flow Logs (network traffic).
  • DNS query logs.
  • EKS audit logs (container activity).

Các mối đe doạ mà GuardDuty phát hiện

  • Tấn công brute force SSH.
  • Credential compromise (dùng access key bị lộ).
  • C&C (Command and Control) connections tới IP độc hại.
  • Khai thác bất thường trong EKS clusters.

Output

  • GuardDuty tạo Findings (phát hiện), được phân loại theo severity (Low, Medium, High).
  • Có thể tích hợp với CloudWatch Events/EventBridge để tự động phản hồi (ví dụ: chặn IP bằng WAF, revoke key).

Amazon Inspector là gì

Amazon Inspector là dịch vụ tự động đánh giá bảo mật (security assessment) giúp phát hiện lỗ hổng trong:

  • EC2 instances (phần mềm, patching).
  • ECR container images.
  • Lambda functions (dependencies, runtime).

Cơ chế hoạt động

  • Inspector liên tục quét resource, so sánh với CVE database và best practices.
  • Tự động đánh giá khi có thay đổi:
    • EC2 khởi tạo mới.
    • Container image được push lên ECR.
    • Lambda code/dependencies update.

Output

  • Tạo findings chi tiết: CVE ID, mức độ nghiêm trọng (Critical, High, Medium, Low).
  • Tích hợp với Security Hub để tập trung quản lý findings.

Ví dụ

  • Nếu container image trong ECR có lỗ hổng Log4j, Inspector sẽ tự động phát hiện và cảnh báo.

Amazon Macie là gì

Amazon Macie là dịch vụ Data Security & Privacy, sử dụng ML & pattern matching để phát hiện và bảo vệ dữ liệu nhạy cảm trong Amazon S3.

Khả năng chính

  • Tự động scan S3 buckets để xác định dữ liệu như:
    • PII (Personally Identifiable Information).
    • Thông tin thẻ tín dụng.
    • Số hộ chiếu, số an sinh xã hội.
  • Phát hiện bucket public hoặc có policy sai sót.
  • Đưa ra báo cáo compliance (GDPR, HIPAA).

Output

  • Findings về loại dữ liệu nhạy cảm, bucket name, policy risk.
  • Báo cáo tổng quan (dashboard) để quản lý dữ liệu nhạy cảm trong toàn bộ account.

Ví dụ

  • Một bucket S3 public chứa file CSV có thông tin khách hàng (tên, số thẻ tín dụng) → Macie sẽ cảnh báo High severity finding.

So sánh GuardDuty, Inspector, Macie

Tiêu chíGuardDuty (Threat Detection)Inspector (Vulnerability)Macie (Data Security)
Mục tiêuPhát hiện hành vi độc hạiĐánh giá lỗ hổng hệ thốngBảo vệ dữ liệu nhạy cảm
Nguồn dữ liệuLogs (CloudTrail, VPC, DNS)EC2, ECR, LambdaS3 buckets
Kỹ thuậtML, Threat IntelligenceCVE Database, best practiceML, Pattern Matching
OutputFindings (malicious activity)Findings (CVE, patching)Findings (PII, public data)

Tổng kết

  • GuardDuty → Luôn bật để phát hiện mối đe doạ runtime.
  • Inspector → Dùng để giảm thiểu lỗ hổng bảo mật trong hạ tầng & container.
  • Macie → Đảm bảo dữ liệu nhạy cảm trong S3 được quản lý và bảo vệ.

👉 Bộ ba này kết hợp giúp bạn đạt Defense in Depth:

  • GuardDuty = giám sát & cảnh báo hành vi bất thường.
  • Inspector = đảm bảo hạ tầng không có lỗ hổng.
  • Macie = bảo vệ dữ liệu nhạy cảm.
WAF và Shield trong AWSTổng quan Disaster Recovery