Trước khi bạn cấp quyền truy cập AWS, chúng tôi muốn giải thích rõ ràng: 6WAF truy cập gì, lưu trữ gì, và tại sao hạ tầng của bạn an toàn.
Không lưu credentials
IAM Role + External ID. Không lưu keys.
Read-only theo mặc định
Audit Role chỉ đọc. Không thay đổi hạ tầng.
External ID
Chống Confused Deputy Attack.
Thu hồi ngay lập tức
Xóa IAM Role → 6WAF mất quyền ngay.
Bạn deploy các IAM Role vào account AWS của bạn. 6WAF không bao giờ có AWS credentials trực tiếp — chúng tôi dùng STS AssumeRole với External ID duy nhất per-tenant.
FinOpsAuditRoleQuét bảo mật, đọc chi phí, AI Correlation evidence
✓ Có thể làm
✗ Không thể làm
FinOpsSchedulerRoleDừng/Bật EC2 và RDS theo lịch
✓ Có thể làm
✗ Không thể làm
FinOpsCleanupRoleXóa tài nguyên bị bỏ hoang (chỉ khi bật Cleanup)
✓ Có thể làm
✗ Không thể làm
🔒 Mô hình bảo mật 3 lớp của FinOpsAuditRole
AWS SecurityAudit (Managed Policy)
Policy AWS quản lý, thiết kế riêng cho các công cụ scan bảo mật như Prowler, AWS Config. Cho phép đọc metadata cấu hình của 57+ dịch vụ AWS — nhưng không đọc nội dung thực tế(không có GetSecretValue,GetObject,GetParameter).
FinOpsDenyDataAccess (DENY Policy — tường lửa cứng)
Policy DENY được đánh giá trước mọi Allow policy theo cơ chế IAM của AWS — DENY luôn thắng. Chặn cứng 8 actions nguy hiểm nhất:
✗ secretsmanager:GetSecretValue
✗ secretsmanager:BatchGetSecretValue
✗ ssm:GetParameter
✗ ssm:GetParameters
✗ ssm:GetParametersByPath
✗ ssm:GetParameterHistory
✗ s3:GetObject
✗ s3:GetObjectVersion
Ngay cả khi AWS mở rộng SecurityAudit trong tương lai, 8 actions này vẫn bị chặn vĩnh viễn bởi DENY policy.
FinOpsAuditExplicit (Permissions bổ sung)
Bổ sung Cost Explorer (13 actions), CloudTrail, GuardDuty và Well-Architected Tool — những permissions không có trong SecurityAudit nhưng cần cho tính năng FinOps và AI Correlation.
External ID Mechanism: Mỗi tenant có một External ID duy nhất (UUID). IAM trust policy yêu cầu External ID phải khớp khi AssumeRole — ngay cả khi kẻ tấn công biết Role ARN của bạn, họ không thể giả mạo 6WAF mà không có External ID đúng. Đây là biện pháp chống Confused Deputy Attack theo khuyến nghị AWS.
Tại sao cần CloudTrail và GuardDuty?
6WAF có tính năng AI Cost-Security Correlation: khi chi phí AWS tăng bất thường, hệ thống kiểm tra CloudTrail và GuardDuty để xác định xem sự tăng đó có liên quan đến sự cố bảo mật không (ví dụ: cryptomining, data exfiltration, account takeover).
CloudTrail (3 actions)
LookupEvents — đọc API events gần đây. DescribeTrails / GetTrailStatus — kiểm tra trail có bật không. Chỉ đọc, không thể tạo/xóa/dừng trail.
GuardDuty (3 actions)
ListDetectors / ListFindings / GetFindings — đọc các findings severity HIGH/CRITICAL hiện có. Không thể archive, dismiss, hay tạo findings mới.
Nếu GuardDuty chưa được bật trong account của bạn hoặc chưa có findings, tính năng Correlation vẫn hoạt động bình thường — CloudTrail và GuardDuty là nguồn evidence bổ sung, không phải điều kiện bắt buộc.
AWS Well-Architected Tool — 11 actions (tùy chọn, do bạn quyết định)
Tính năng Well-Architected Review (WAR) cho phép 6WAF tự động tạo workload và pre-fill ghi chú vào từng câu hỏi WAT dựa trên kết quả scan — thay thế 2–3 giờ phỏng vấn thủ công với SA. Đây là tính năng tùy chọn: bạn chỉ dùng nếu chủ động vào trang Well-Architected Review.
6 WAF READ actions
GetWorkload— đọc thông tin workloadListWorkloads— liệt kê workloads hiện cóListAnswers— đọc câu hỏi và câu trả lờiGetLensReview— đọc kết quả review theo pillarListMilestones— liệt kê các milestoneGetConsolidatedReport— đọc báo cáo tổng hợp5 WAF WRITE actions
CreateWorkload— tạo workload mới (idempotent)AssociateLenses— gắn WAF lens vào workloadUpdateAnswer— điền GHI CHÚ vào câu hỏi WATCreateMilestone— tạo ảnh chụp tại thời điểm hiện tạiTagResource— gắn tag CreatedBy=6WAFQuan trọng: 6WAF chỉ điền ghi chú (Notes field) vào các câu hỏi WAT — không tự tick checkbox "best practice in place". Việc xác nhận từng best practice là quyết định của reviewer/consultant. Workload được tạo trong account AWS của bạn, không phải account của 6WAF — bạn hoàn toàn kiểm soát và có thể xóa bất kỳ lúc nào.
✓ Chúng tôi LƯU
✗ Chúng tôi KHÔNG lưu
Lưu ý về Data Residency: Dữ liệu scan được lưu tại AWS ap-southeast-1 (Singapore). Nếu bạn cần dữ liệu ở trong account của bạn (data sovereignty), hãy liên hệ chúng tôi về BYOC deployment mode — toàn bộ stack deploy vào account của bạn.
Team 6WAF được chứng nhận bởi AWS để đảm bảo kiến thức chuyên sâu về Well-Architected Framework, security best practices, và cost optimization.
Solutions Architect Associate
AWS Certified
Developer Associate
AWS Certified
SysOps Administrator Associate
AWS Certified
Well-Architected Framework Expert
AWS Certified
Encryption in Transit
Toàn bộ API calls sử dụng HTTPS/TLS 1.3. JWT token trong httpOnly cookie, không lộ qua JavaScript.
Encryption at Rest
DynamoDB tables sử dụng AWS-managed encryption keys (SSE-AES256).
Least Privilege
6WAF Lambda functions chỉ có quyền truy cập các DynamoDB tables cần thiết — không có wildcard IAM policies.
Audit Trail
Mọi scan action được log trong CloudWatch với tenant_id. Bạn có thể kiểm tra qua CloudTrail trong account của chính bạn.