Chuyển tới nội dung chính

AWS Network Security Deep Dive

1. Security Group vs NACL

(Đã đề cập chi tiết trong bài VPC).

SG: Firewall cho Instance. Stateful.
NACL: Firewall cho Subnet. Stateless.

2. AWS WAF (Web Application Firewall)

Bảo vệ Web App khỏi các lỗ hổng phổ biến (OWASP Top 10) và Bot.

Gắn vào: ALB, API Gateway, CloudFront, AppSync.
Managed Rules: Bộ rule do AWS hoặc partner (Fortinet, F5) quản lý. Cập nhật tự động khi có lỗ hổng mới (VD: Log4j).

WAF Logging

Luôn bật WAF Logging (gửi về CloudWatch hoặc S3) để phân tích traffic bị chặn. Nếu không có log, bạn sẽ mù tịt khi user kêu "không truy cập được".

3. AWS Shield (DDoS Protection)

Shield Standard: Miễn phí. Bảo vệ khỏi các cuộc tấn công L3/L4 phổ biến (SYN Flood, UDP Reflection). Tự động bật cho mọi khách hàng.
Shield Advanced: $3000/tháng.
- Bảo vệ L7 (HTTP Flood).
- Truy cập đội phản ứng nhanh (DRT - DDoS Response Team).
- Cost Protection: Hoàn tiền nếu DDoS làm tăng bill của bạn (VD: Auto Scaling dựng lên 1000 instance).

4. AWS Firewall Manager

Quản lý rule WAF, Shield, Security Group tập trung cho toàn bộ Organization (nhiều Account).

"Bắt buộc mọi ALB trong công ty phải gắn WAF rule chặn IP từ nước X".

1. Security Group vs NACL
2. AWS WAF (Web Application Firewall)
3. AWS Shield (DDoS Protection)
4. AWS Firewall Manager