Security & Trust

Trước khi bạn cấp quyền truy cập AWS, chúng tôi muốn giải thích rõ ràng: 6WAF truy cập gì, lưu trữ gì, và tại sao hạ tầng của bạn an toàn.

Không lưu credentials

IAM Role + External ID. Không lưu keys.

Read-only theo mặc định

Audit Role chỉ đọc. Không thay đổi hạ tầng.

External ID

Chống Confused Deputy Attack.

Thu hồi ngay lập tức

Xóa IAM Role → 6WAF mất quyền ngay.

IAM Roles — Quyền hạn cụ thể

Bạn deploy các IAM Role vào account AWS của bạn. 6WAF không bao giờ có AWS credentials trực tiếp — chúng tôi dùng STS AssumeRole với External ID duy nhất per-tenant.

FinOpsAuditRole

Quét bảo mật, đọc chi phí, AI Correlation evidence

✓ Có thể làm

  • AWS SecurityAudit policy — đọc metadata tất cả 57+ dịch vụ AWS (không đọc nội dung)
  • Cost Explorer: 13 actions cụ thể (chi phí, RI/SP, anomaly)
  • CloudTrail: LookupEvents, DescribeTrails, GetTrailStatus
  • GuardDuty: ListDetectors, ListFindings, GetFindings
  • Well-Architected Tool: 11 actions (read + workload management)

✗ Không thể làm

  • Đọc secret values (secretsmanager:GetSecretValue — bị DENY cứng)
  • Đọc SSM parameter values (ssm:GetParameter* — bị DENY cứng)
  • Đọc nội dung file S3 (s3:GetObject — bị DENY cứng)
  • Tạo hoặc xóa bất kỳ resource nào
  • Thay đổi security groups, IAM policies
  • Archive, dismiss GuardDuty findings
  • Dừng hoặc xóa CloudTrail trails
FinOpsSchedulerRole

Dừng/Bật EC2 và RDS theo lịch

✓ Có thể làm

  • EC2 stop/start (with tag condition: must have Managed-By=6WAF)
  • RDS stop/start (with tag condition)
  • EventBridge: manage rules created by 6WAF only

✗ Không thể làm

  • Stop/start instances without the 6WAF tag
  • Delete any instance or database
  • Access data inside instances
FinOpsCleanupRole

Xóa tài nguyên bị bỏ hoang (chỉ khi bật Cleanup)

✓ Có thể làm

  • EBS: DeleteVolume (unattached volumes only)
  • EC2: DeleteSnapshot, DeregisterImage
  • EC2: ReleaseAddress (unattached EIPs only)

✗ Không thể làm

  • Delete running instances or databases
  • Delete S3 buckets or objects
  • Modify any live workload

🔒 Mô hình bảo mật 3 lớp của FinOpsAuditRole

1

AWS SecurityAudit (Managed Policy)

Policy AWS quản lý, thiết kế riêng cho các công cụ scan bảo mật như Prowler, AWS Config. Cho phép đọc metadata cấu hình của 57+ dịch vụ AWS — nhưng không đọc nội dung thực tế(không có GetSecretValue,GetObject,GetParameter).

2

FinOpsDenyDataAccess (DENY Policy — tường lửa cứng)

Policy DENY được đánh giá trước mọi Allow policy theo cơ chế IAM của AWS — DENY luôn thắng. Chặn cứng 8 actions nguy hiểm nhất:

secretsmanager:GetSecretValue

secretsmanager:BatchGetSecretValue

ssm:GetParameter

ssm:GetParameters

ssm:GetParametersByPath

ssm:GetParameterHistory

s3:GetObject

s3:GetObjectVersion

Ngay cả khi AWS mở rộng SecurityAudit trong tương lai, 8 actions này vẫn bị chặn vĩnh viễn bởi DENY policy.

3

FinOpsAuditExplicit (Permissions bổ sung)

Bổ sung Cost Explorer (13 actions), CloudTrail, GuardDuty và Well-Architected Tool — những permissions không có trong SecurityAudit nhưng cần cho tính năng FinOps và AI Correlation.

External ID Mechanism: Mỗi tenant có một External ID duy nhất (UUID). IAM trust policy yêu cầu External ID phải khớp khi AssumeRole — ngay cả khi kẻ tấn công biết Role ARN của bạn, họ không thể giả mạo 6WAF mà không có External ID đúng. Đây là biện pháp chống Confused Deputy Attack theo khuyến nghị AWS.

Tại sao cần CloudTrail và GuardDuty?

6WAF có tính năng AI Cost-Security Correlation: khi chi phí AWS tăng bất thường, hệ thống kiểm tra CloudTrail và GuardDuty để xác định xem sự tăng đó có liên quan đến sự cố bảo mật không (ví dụ: cryptomining, data exfiltration, account takeover).

CloudTrail (3 actions)

LookupEvents — đọc API events gần đây. DescribeTrails / GetTrailStatus — kiểm tra trail có bật không. Chỉ đọc, không thể tạo/xóa/dừng trail.

GuardDuty (3 actions)

ListDetectors / ListFindings / GetFindings — đọc các findings severity HIGH/CRITICAL hiện có. Không thể archive, dismiss, hay tạo findings mới.

Nếu GuardDuty chưa được bật trong account của bạn hoặc chưa có findings, tính năng Correlation vẫn hoạt động bình thường — CloudTrail và GuardDuty là nguồn evidence bổ sung, không phải điều kiện bắt buộc.

AWS Well-Architected Tool — 11 actions (tùy chọn, do bạn quyết định)

Tính năng Well-Architected Review (WAR) cho phép 6WAF tự động tạo workload và pre-fill ghi chú vào từng câu hỏi WAT dựa trên kết quả scan — thay thế 2–3 giờ phỏng vấn thủ công với SA. Đây là tính năng tùy chọn: bạn chỉ dùng nếu chủ động vào trang Well-Architected Review.

6 WAF READ actions

  • GetWorkload đọc thông tin workload
  • ListWorkloads liệt kê workloads hiện có
  • ListAnswers đọc câu hỏi và câu trả lời
  • GetLensReview đọc kết quả review theo pillar
  • ListMilestones liệt kê các milestone
  • GetConsolidatedReport đọc báo cáo tổng hợp

5 WAF WRITE actions

  • CreateWorkload tạo workload mới (idempotent)
  • AssociateLenses gắn WAF lens vào workload
  • UpdateAnswer điền GHI CHÚ vào câu hỏi WAT
  • CreateMilestone tạo ảnh chụp tại thời điểm hiện tại
  • TagResource gắn tag CreatedBy=6WAF

Quan trọng: 6WAF chỉ điền ghi chú (Notes field) vào các câu hỏi WAT — không tự tick checkbox "best practice in place". Việc xác nhận từng best practice là quyết định của reviewer/consultant. Workload được tạo trong account AWS của bạn, không phải account của 6WAF — bạn hoàn toàn kiểm soát và có thể xóa bất kỳ lúc nào.

Dữ liệu nào được lưu trữ?

✓ Chúng tôi LƯU

Kết quả scan: tên dịch vụ, resource ID, severity
Chi phí tổng theo service (không có chi tiết transaction)
Email và thông tin tài khoản của bạn
Cấu hình scan: regions, ngưỡng cảnh báo

✗ Chúng tôi KHÔNG lưu

AWS Access Keys hoặc Secret Keys của bạn
Secret values trong Secrets Manager (DENY cứng — không thể đọc dù muốn)
Giá trị SSM Parameter (DENY cứng — chỉ thấy tên parameter, không thấy value)
Nội dung file trong S3 buckets (DENY cứng — chỉ thấy metadata)
Mật khẩu database, connection strings trong EC2/RDS
Code trong Lambda functions
Dữ liệu end-user của bạn (customer data)

Lưu ý về Data Residency: Dữ liệu scan được lưu tại AWS ap-southeast-1 (Singapore). Nếu bạn cần dữ liệu ở trong account của bạn (data sovereignty), hãy liên hệ chúng tôi về BYOC deployment mode — toàn bộ stack deploy vào account của bạn.

AWS Certifications

Team 6WAF được chứng nhận bởi AWS để đảm bảo kiến thức chuyên sâu về Well-Architected Framework, security best practices, và cost optimization.

SAA-C03

Solutions Architect Associate

AWS Certified

DVA-C02

Developer Associate

AWS Certified

SOA-C02

SysOps Administrator Associate

AWS Certified

WAF

Well-Architected Framework Expert

AWS Certified

Cam kết bảo mật

Encryption in Transit

Toàn bộ API calls sử dụng HTTPS/TLS 1.3. JWT token trong httpOnly cookie, không lộ qua JavaScript.

Encryption at Rest

DynamoDB tables sử dụng AWS-managed encryption keys (SSE-AES256).

Least Privilege

6WAF Lambda functions chỉ có quyền truy cập các DynamoDB tables cần thiết — không có wildcard IAM policies.

Audit Trail

Mọi scan action được log trong CloudWatch với tenant_id. Bạn có thể kiểm tra qua CloudTrail trong account của chính bạn.