Tác giả: Craig Edwards , Nivas Durairaj và Courtney Sampson
Ngày đăng: 11 THÁNG 4 NĂM 2025
Danh mục: AWS Config, Configuration, compliance, and auditing, Management & Governance, Management Tools, Thought Leadership

Trong bài đăng này, chúng tôi sẽ nêu bật cách AWS Config có thể được sử dụng để giúp các tổ chức triển khai các khả năng liên quan đến quản lý và quản trị, bảo mật, v.v. Bạn đã bao giờ tự hỏi làm thế nào để duy trì kho tài nguyên tập trung trên các tài khoản AWS của mình chưa? Bạn có cần nhanh chóng xác định các tài nguyên chưa được mã hóa trong môi trường AWS của mình không? Bạn có cần xem các thay đổi lịch sử được thực hiện đối với tài nguyên của mình và tự động đánh giá xem chúng có tuân thủ hay không? Cho dù là để đảm bảo tuân thủ tập trung, bảo mật hay quản lý tài nguyên toàn diện, việc có được tầm nhìn (visibility) toàn diện về môi trường đám mây của bạn là cực kỳ quan trọng và AWS Config có thể giúp thực hiện điều này. Giá trị của AWS Config không chỉ giới hạn ở việc giám sát, vì nhiều dịch vụ AWS bao gồm AWS Control Tower , AWS Security Hub , AWS Audit Manager và các dịch vụ khác tận dụng dữ liệu AWS Config để nâng cao chức năng của chúng.

AWS Config là dịch vụ được quản lý hoàn toàn cho phép bạn kiểm kê tài nguyên và theo dõi các thay đổi được thực hiện đối với chúng. Nó cung cấp một bộ thông tin cấu hình chi tiết cho các tài nguyên này cho phép bạn giải quyết nhiều mục tiêu kinh doanh khác nhau:

• Tăng khả năng hiển thị
  • Tận dụng AWS Config để khám phá các tài nguyên trong môi trường AWS của bạn hoặc các tài nguyên của bên thứ ba có dữ liệu cấu hình có thể được xuất bản vào AWS Config.
• Kiểm toán và tuân thủ tập trung
  • Sử dụng AWS Config để liên tục đánh giá mức độ tuân thủ các tiêu chuẩn tuân thủ của tài nguyên AWS (ví dụ: SOC, PCI, FedRAMP) cũng như theo dõi mọi sai lệch theo thời gian. Bạn có thể sử dụng AWS Config để tự động khắc phục mọi tài nguyên không tuân thủ như một phần của giải pháp quản lý tài nguyên.
• Tối ưu hóa chi phí
  • Giải quyết các cơ hội tối ưu hóa chi phí bằng cách sử dụng AWS Config để theo dõi cấu hình tài nguyên có tác động không mong muốn đến chi phí.
• Thông tin tình báo bảo mật (Security Intelligence)
  • Xây dựng các biện pháp kiểm soát để phát hiện các cấu hình tài nguyên dễ bị tấn công bằng AWS Config cũng như xem lại các cấu hình tài nguyên trong quá khứ để xác định tình trạng bảo mật tại một thời điểm cụ thể.
• Cho phép các giải pháp đối tác
  • Sử dụng đầu ra từ AWS Config để tích hợp với nhiều giải pháp của bên thứ ba. Ví dụ: điền vào cơ sở dữ liệu quản lý cấu hình của bên thứ ba (CMDB) như ServiceNow bằng các công cụ như AWS Service Management Connector.

Để làm nổi bật những cách AWS Config có thể giải quyết nhiều nhu cầu khác nhau của khách hàng, chúng ta sẽ xem xét một số trường hợp sử dụng và cách AWS Config có thể hỗ trợ.

AWS Config hoạt động như thế nào

Bước đầu tiên trong quản lý và quản trị đám mây là hiểu những gì đang chạy trong môi trường của bạn. Khi các nhóm chạy khối lượng công việc trên AWS, họ sẽ tiêu thụ tài nguyên. Khi nhu cầu (và số lượng) của các khối lượng công việc này tăng lên, thì nhu cầu theo dõi chúng cũng tăng theo. AWS Config recorder cung cấp cơ chế cho chức năng kiểm kê này. AWS Config thực hiện theo dõi tài nguyên bằng cách khởi động trình ghi để ghi lại trạng thái tài nguyên của bạn trên các tài khoản AWS của bạn. Sau đó, trình ghi phát hiện mọi thay đổi đối với các tài nguyên này và tạo ra một Mục cấu hình (Configuration Item – CI), vốn là một bản ghi tức thời về cấu hình của tài nguyên đó tại một thời điểm. Một mục cấu hình mẫu có thể được xem trong Hình 1. Lượng thông tin phong phú trong ảnh chụp nhanh này là lý do chính khiến một số dịch vụ AWS tận dụng dữ liệu do AWS Config tạo ra.

Khách hàng có thể quản lý linh hoạt trình ghi AWS Config, bao gồm loại trừ các tài nguyên cụ thể và điều chỉnh tần suất theo dõi, rất hữu ích cho các workload có lưu lượng tăng đột biến (bursty workloads) hoặc các tài nguyên tạm thời (ephemeral resources).

Lưu ý: Hợp tác với các bên liên quan thích hợp như nhóm bảo mật về loại trừ tài nguyên và tần suất ghi để đảm bảo tuân thủ. Ngoài ra, hãy xem xét mọi sự phụ thuộc của các dịch vụ AWS hoặc giải pháp của đối tác vào các tài nguyên này (downstream dependencies).

Ví dụ về Configuration Item cho một EC2 Volume (EBS)

Hình 1: EBS Volume Configuration Item

Mục cấu hình (configuration item) này làm nổi bật các thông tin cấu hình chính như mối quan hệ tài nguyên (volume này được đính kèm vào một EC2 instance) và các rủi ro tiềm ẩn (như Volume hiện tại không được mã hóa).

Triển khai các điều khiển phù hợp

AWS Config cung cấp các đánh giá tuân thủ cho quản lý tài nguyên. Hãy tưởng tượng một khách hàng cần tuân thủ tiêu chuẩn tuân thủ NIST 800-53. Khung này có các biện pháp kiểm soát mà khách hàng phải đáp ứng để chứng minh sự tuân thủ (xem NIST Control Catalog nếu quan tâm). AWS Config cung cấp nhiều tùy chọn triển khai để đánh giá tài nguyên trên toàn bộ tài khoản và nhóm, với các mức độ linh hoạt khác nhau.

Tùy chọn đầu tiên là thông qua các quy tắc AWS Config. Các quy tắc AWS Config đánh giá mức độ tuân thủ của tài nguyên so với các thiết lập cấu hình mong muốn của bạn cho các tài nguyên AWS. AWS Config so sánh trạng thái hiện tại của các tài nguyên của bạn với các quy tắc này, đánh dấu bất kỳ tài nguyên nào không tuân thủ. AWS Config cung cấp các AWS Managed Rules (bộ quy tắc do AWS quản lý) có sẵn, cũng như khả năng tạo ra các Custom Rules (bộ quy tắc tùy chỉnh). Các nhóm khách hàng có thể đóng gói nhiều quy tắc cấu hình và hành động khắc phục thành một thực thể triển khai duy nhất được gọi là gói tuân thủ để triển khai nhiều tài khoản hiệu quả. Thay vì quản lý các quy tắc riêng lẻ, khách hàng có thể sử dụng Gói tuân thủ (Conformance Pack) có sẵn tên là Operational Best Practices for NIST 800-53, có thể tùy chỉnh và triển khai trên toàn tổ chức để quản lý tuân thủ tập trung.

Rules (Bộ quy tắc) và Conformance Packs (Gói tuân thủ) có thể được triển khai thông qua AWS Console,  AWS CloudFormation ,API hoặc Systems Manager Quick Setup. Để tạo các quy tắc cấu hình tùy chỉnh, bạn nên sử dụng AWS Lambda hoặc AWS CloudFormation Guard.

Tùy chọn thứ hai là tận dụng các tiêu chuẩn bảo mật Security Hub trong AWS Security Hub. Các tiêu chuẩn này là các tập hợp cố định các quy tắc tự động cung cấp các kiểm tra thực hành tốt nhất đối với các tài nguyên AWS của bạn. Các tiêu chuẩn này sử dụng các quy tắc AWS Config để đánh giá các tài nguyên của bạn và cung cấp một cách hợp lý để bắt đầu. Nếu tiêu chuẩn tuân thủ bạn cần đã có trong Security Hub, thì dịch vụ Security Hub được quản lý hoàn toàn là cách dễ nhất để bắt đầu, nhưng chúng không thể tùy chỉnh. Nếu cần tùy chỉnh, thì triển khai trực tiếp các quy tắc AWS Config và các gói tuân thủ trong AWS Config là cách tiếp cận được khuyến nghị.

Lưu ý: Nếu bật AWS Config và Security Hub, hãy đảm bảo không có các biện pháp kiểm soát trùng lặp được triển khai giữa các tiêu chuẩn Security Hub và các gói tuân thủ Config hoặc quy tắc để giảm chi phí không cần thiết.

AWS Config cũng có thể tự động khắc phục các tài nguyên không tuân thủ để duy trì trạng thái bảo mật. Cấu hình quy tắc AWS Config có thể bao gồm khắc phục thủ công hoặc tự động. Quy trình làm việc tự động này giúp giảm thời gian khắc phục tình trạng không tuân thủ. Có thể hữu ích khi có được khả năng hiển thị trước khi thực hiện hành động khắc phục. Khách hàng có thể thiết lập cơ chế thông báo hoặc tạo phiếu trước khi bật khắc phục tự động. Khi đã sẵn sàng, hãy xem blog này về cách khắc phục các quy tắc AWS Config không tuân thủ để biết hướng dẫn.

Đạt được tầm nhìn tập trung

AWS Config là một dịch vụ hoạt động theo từng Region. Theo mặc định, dữ liệu AWS Config được thu thập trong một tài khoản AWS chỉ có thể xem được trong tài khoản và khu vực nơi dữ liệu được thu thập. Tuy nhiên, khách hàng thường mong muốn có một cách tập trung để sử dụng dữ liệu này. Điều này có thể thực hiện được với bộ tổng hợp (aggregator) của AWS Config. Các trình tổng hợp cho phép xem tập trung dữ liệu cấu hình và tuân thủ trên nhiều tài khoản AWS, Khu vực AWS hoặc toàn bộ Tổ chức AWS.

Truy vấn môi trường tài khoản của bạn

Nhóm tuân thủ của tổ chức có thể muốn có thêm thông tin chi tiết về môi trường hiện tại của họ. Ví dụ: hiểu số lượng phiên bản Amazon EC2 hiện đang triển khai hoặc nhóm bảo mật nào đang cho phép kết nối TCP? Tính năng AWS Config Advanced Query cung cấp một điểm cuối (endpoint) cho phép bạn truy vấn trạng thái cấu hình hiện tại của tài nguyên AWS. Điều này có thể được thực hiện trên một tài khoản hoặc nhiều tài khoản và vùng với trình tổng hợp. Có các truy vấn mẫu được cung cấp hoặc bạn có thể tự viết. Để hỗ trợ quá trình biên soạn, dịch vụ này cung cấp bộ xử lý truy vấn ngôn ngữ tự nhiên (trong bản xem trước) giúp loại bỏ nhu cầu phải viết các câu lệnh SQL.

Một số trường hợp sử dụng phổ biến cho truy vấn nâng cao bao gồm:

• Quản lý hàng tồn kho (tức là lấy danh sách các phiên bản Amazon EC2 có kích thước cụ thể).
• Thông tin an ninh và vận hành (tức là lấy danh sách các tài nguyên có thuộc tính cấu hình cụ thể được bật hoặc tắt).
• Tối ưu hóa chi phí (tức là xác định danh sách Amazon EBS volumes không được gắn vào bất kỳ phiên bản Amazon EC2 nào).
• Phản hồi sự cố (tức là hiểu được những tài nguyên nào đã được tạo sau một ngày nhất định).

Theo dõi trạng thái tuân thủ của bạn

Để có khả năng hiển thị quản trị, các nhóm có thể tận dụng bảng thông tin AWS Config để cung cấp tổng quan về các tài nguyên đã ghi, quy tắc và gói tuân thủ, cũng như trạng thái tuân thủ và điểm số của chúng trong nháy mắt. AWS Config cũng được tích hợp với Amazon CloudWatch cho phép bạn xem các mục cấu hình AWS Config và các số liệu khác trực tiếp trong bảng thông tin CloudWatch. Bảng thông tin CloudWatch có thể được sử dụng để xây dựng và chia sẻ chế độ xem tùy chỉnh về mức sử dụng AWS Config.

Cung cấp Đảm bảo Quản lý Rủi ro

Thu thập thủ công bằng chứng để hỗ trợ kiểm toán có thể là một quá trình cồng kềnh, nhưng AWS Config có thể giúp hợp lý hóa quá trình này. Đánh giá quy tắc trong AWS Config đang đánh giá tài nguyên và kết quả của những đánh giá này sau đó được cung cấp cho AWS Audit Manager, một dịch vụ kiểm toán đám mây được quản lý, dưới dạng bằng chứng. Sau đó, Audit Manager có thể tạo báo cáo đánh giá cho các kiểm toán viên nội bộ và bên ngoài. Để hỗ trợ các biện pháp kiểm soát này, bạn phải bật AWS Config trong AWS Regions nơi tài nguyên nằm trong phạm vi của Audit Manager. Không bật AWS Config sẽ dẫn đến không thu thập được bằng chứng cho các biện pháp kiểm soát khác nhau, dẫn đến bức tranh không đầy đủ về môi trường đám mây của bạn.

Bật AWS Config

Có một số tùy chọn để triển khai AWS Config tùy thuộc vào môi trường của bạn:

• Trong một tài khoản AWS duy nhất – Tận dụng AWS Console để triển khai AWS Config hoặc sử dụng AWS CLI hoặc AWS SDKs để triển khai bằng code.
• Trong môi trường nhiều tài khoản với AWS Control Tower – AWS Config được tự động bật trong mọi tài khoản đã đăng ký, cho tất cả các vùng mà tài khoản hoạt động. AWS Control Tower cũng sẽ triển khai một số detective controls (kiểm soát mang tính phát hiện)… Các ví dụ về control bao gồm Detecting Public Read Access for Log Archive S3 Buckets (Phát hiện quyền đọc công khai cho các bucket S3 lưu trữ log) và Phát hiện xem các tài khoản được chia sẻ có bật AWS CloudTrail hay không .
• Trong môi trường nhiều tài khoản không có AWS Control Tower, có hai tùy chọn:
  

1. Các công cụ cơ sở hạ tầng dưới dạng mã, như AWS CloudFormation và Terraform, có thể được sử dụng để cung cấp tài nguyên trên nhiều tài khoản và vùng AWS. Bạn có thể triển khai AWS Config cho các tài khoản AWS của mình bằng cách tạo một mẫu tham chiếu đến tài nguyên AWS Config CloudFormation . Bạn cũng có thể tham khảo tài liệu CloudFormation để tận dụng các mẫu StackSet do AWS cung cấp. Các ví dụ này bao gồm các mẫu để triển khai các quy tắc Config.
   
2. AWS Systems Manager Quick Setup là một chức năng của AWS Systems Manager và cho phép khách hàng nhanh chóng cấu hình các dịch vụ và tính năng AWS thường dùng với các biện pháp thực hành tốt nhất được đề xuất. Một trong những cấu hình được hỗ trợ là tạo AWS Configuration Recorder . Quy trình này sẽ cho phép bạn tận dụng Systems Manager để bật AWS Config trên nhiều tài khoản và khu vực hoặc toàn bộ tổ chức.

Phần kết luận

Trong bài đăng này, chúng tôi đã chứng minh AWS Config là dịch vụ cốt lõi mà các tổ chức nên cân nhắc kích hoạt như một phần trong chiến lược đám mây của mình. AWS Config không chỉ cung cấp khả năng kiểm kê, tuân thủ, bảo mật và tích hợp mà còn đảm bảo khách hàng tận dụng tối ưu và nhận được lợi tức đầu tư tối đa với các dịch vụ bảo mật và tuân thủ quan trọng khác.

Về tác giả

Craig Edwards

Craig Edwards là Chuyên gia công nghệ toàn cầu của nhóm Critical Capabilities tại AWS có trụ sở tại Boston, Massachusetts. Ông chuyên về AWS Config, AWS CloudTrail, AWS Audit Manager và AWS Systems Manager. Craig là Cựu chiến binh Không quân Hoa Kỳ và khi không xây dựng các giải pháp đám mây, ông thích làm người cha và xe điện.

Nivas Durairaj

Nivas Durairaj là giám đốc phát triển kinh doanh cấp cao cho dịch vụ AWS Cloud Governance. Anh thích hướng dẫn và giúp đỡ khách hàng trong hành trình đám mây của họ. Ngoài công việc, Nivas thích chơi tennis, đi bộ đường dài, tập yoga và du lịch vòng quanh thế giới.

Courtney Sampson

Courtney Sampson là Kiến trúc sư giải pháp tại AWS. Ông làm việc cùng khách hàng doanh nghiệp để cung cấp các phương pháp thực hành hay nhất và hướng dẫn xây dựng và vận hành thành công trên đám mây.