Tác giả: Roger Nem
Ngày phát hành: 05 MAY 2026
Chuyên mục: Advanced (300), Artificial Intelligence, Generative AI, Kiro, Security, Identity, & Compliance, Technical How-to

Một cảnh báo bảo mật vào sáng thứ Hai đã báo hiệu các nỗ lực truy cập trái phép, cấu hình nhóm bảo mật sai và vi phạm chính sách AWS Identity and Access Management (IAM). Nhóm của bạn cần câu trả lời nhanh chóng.

Các nhóm bảo mật đang sử dụng Kiro và Amazon Q Developer để xử lý các tác vụ lặp đi lặp lại—quét tài nguyên, soạn thảo chính sách và nghiên cứu các lỗ hổng và phơi nhiễm phổ biến (CVEs)—để các kỹ sư có thể tập trung vào các quyết định rủi ro và các kịch bản phức tạp đòi hỏi sự đánh giá của con người, dẫn đến phản ứng nhanh hơn với mối đe dọa và phạm vi bảo mật nhất quán hơn.

Bài viết này chỉ cho bạn năm cách sử dụng Kiro và Amazon Q Developer để tăng cường tư thế bảo mật AWS của bạn dựa trên Trụ cột Bảo mật của AWS Well-Architected Framework. Mỗi kỹ thuật được xây dựng trên một nền tảng chung được mô tả sau phần tổng quan về công cụ dưới đây.

Giới thiệu về các công cụ này

Amazon Web Services (AWS) cung cấp cho khách hàng nhiều lựa chọn khi nói đến phát triển hỗ trợ AI và tự động hóa bảo mật. Cho dù bạn thích trải nghiệm môi trường phát triển tích hợp (IDE) tác nhân của Kiro hay sự tích hợp sâu rộng của Amazon Q Developer vào môi trường AWS hiện có của bạn, cả hai công cụ đều có thể giúp bạn triển khai các thực hành bảo mật được mô tả trong bài viết này. Lựa chọn đúng đắn phụ thuộc vào quy trình làm việc của nhóm bạn, và trong nhiều trường hợp, cả hai công cụ đều bổ sung cho nhau và có thể được sử dụng cùng nhau.

Kiro là một IDE tác nhân, được hỗ trợ bởi AI, được AWS thiết kế để phát triển theo đặc tả, kết hợp lời nhắc ngôn ngữ tự nhiên với mã hóa có cấu trúc, có chủ đích để tạo, kiểm tra và triển khai ứng dụng.

Amazon Q Developer là trợ lý AI tạo sinh được tích hợp vào môi trường phát triển và đám mây của AWS, được thiết kế để trả lời câu hỏi, tạo mã, khắc phục sự cố và tự động hóa các tác vụ vận hành trên các dịch vụ AWS.

Để biết hướng dẫn thiết lập và tìm hiểu thêm, hãy xem tài liệu Kiro và tài liệu Amazon Q Developer.

1. Nhúng các phương pháp bảo mật tốt nhất với ngữ cảnh liên tục

Cung cấp cho các trợ lý AI ngữ cảnh phù hợp giúp họ tạo ra kết quả nhất quán và phù hợp hơn. Mỗi trong năm kỹ thuật trong bài viết này trở nên mạnh mẽ hơn đáng kể khi trợ lý AI của bạn đã hiểu các tiêu chuẩn bảo mật của tổ chức bạn. Thiết lập ngữ cảnh liên tục trước tiên có nghĩa là mọi tương tác tiếp theo đều được xây dựng trên nền tảng đó, và kết quả bạn nhận được từ phân loại, khắc phục, đánh giá và phát triển chính sách sẽ phản ánh tốt hơn môi trường cụ thể của bạn thay vì các phương pháp tốt nhất chung chung.

Nếu không có ngữ cảnh liên tục, bạn cần lặp lại các yêu cầu bảo mật tương tự trong mỗi lời nhắc như "enable encryption, use least privilege IAM settings, and enable logging," điều này dẫn đến kết quả không nhất quán và bỏ sót các kiểm soát. Các quy tắc của Amazon Q Developer IDE Plugin và các tệp điều khiển của Kiro (CLI và IDE) giải quyết chính xác vấn đề này: bạn có thể sử dụng chúng để mã hóa các tiêu chuẩn bảo mật của tổ chức mình để AI tự động xây dựng cơ sở hạ tầng an toàn một cách nhất quán, mà không yêu cầu bạn lặp lại các yêu cầu trong mỗi lời nhắc. Cả hai công cụ đều hỗ trợ khả năng này một cách độc lập, vì vậy bạn có thể cấu hình công cụ nào phù hợp với quy trình làm việc của mình, hoặc sử dụng cả hai cùng nhau để bao phủ toàn bộ môi trường phát triển của bạn. Các bước sau đây chỉ cho bạn cách bắt đầu với từng công cụ.

For Amazon Q Developer:

1. Tạo thư mục: .amazonq/rules/ trong thư mục gốc dự án của bạn.
2. Tạo tệp: .amazonq/rules/security-standards.md.
3. Dán các tiêu chuẩn bảo mật của tổ chức bạn bằng ngôn ngữ tự nhiên (xem “Tệp ngữ cảnh tiêu chuẩn bảo mật ví dụ” dưới đây).

For Kiro (steering files):

Trong Kiro, các tài liệu ngữ cảnh liên tục được gọi là tệp điều khiển (steering files). Chúng cung cấp cho tác nhân nhận thức liên tục về các quyết định kiến trúc, tiêu chuẩn mã hóa và yêu cầu bảo mật của bạn trong mọi tương tác và mọi phiên.

1. Tạo tệp: security-standards.md trong thư mục gốc dự án của bạn.
2. Tham chiếu nó trong các lời nhắc: `Using security-standards.md as context, create...`.

Mẹo chuyên nghiệp: Bạn có thể sử dụng Kiro để giúp bạn tạo các tệp điều khiển. Mô tả các yêu cầu bảo mật của bạn bằng ngôn ngữ tự nhiên và yêu cầu Kiro tạo một tệp điều khiển có cấu trúc để bạn xem xét trước khi lưu và kích hoạt nó. Điều này có nghĩa là trợ lý AI của bạn có thể giúp bạn xây dựng chính ngữ cảnh mà nó sẽ sử dụng sau này, làm cho quá trình thiết lập nhanh hơn và kỹ lưỡng hơn.

Tệp ngữ cảnh tiêu chuẩn bảo mật ví dụ:

# AWS Security Standards
## Identity and Access Management
- All IAM roles must use least privilege principles
- Require MFA for console access
- Enable IAM Access Analyzer for all accounts
- Rotate access keys every 90 days
- Use IAM roles for EC2 instances, never embed access keys
## Data Protection
- Enable encryption at rest for all storage services (S3, EBS, RDS)
- Use AWS KMS customer-managed keys for sensitive data
- Enable encryption in transit with TLS 1.2 minimum
- Implement S3 bucket policies denying unencrypted uploads
- Enable versioning and MFA delete for critical S3 buckets
## Infrastructure Protection
- Security groups must follow least privilege (no 0.0.0.0/0 on sensitive ports)
- Deploy resources in private subnets when possible
- Enable VPC Flow Logs for network monitoring
- Use AWS WAF for public-facing applications
- Implement Network ACLs as additional defense layer
## Detective Controls
- Enable CloudTrail in all regions with log file validation
- Configure CloudWatch alarms for security events
- Enable GuardDuty for threat detection
- Set up AWS Config rules for compliance monitoring
- Implement centralized logging with retention policies
## Incident Response
- Create SNS topics for security alerts
- Configure automated responses with AWS Lambda
- Maintain runbooks for common security incidents
- Enable AWS Systems Manager for secure instance access
- Implement automated backup and recovery procedure

Điều này mở khóa những gì:

Nếu không có ngữ cảnh liên tục, một lời nhắc như `Create a Lambda function to process customer data` có thể tạo ra một hàm cơ bản không có mã hóa, ghi nhật ký hoặc cấu hình IAM. Đầu ra của AI là không xác định, nghĩa là nếu không có hướng dẫn, nó có thể bao gồm hoặc không bao gồm các kiểm soát đó. Các tệp điều khiển và tài liệu quy tắc giảm thiểu các biến đó bằng cách cung cấp hướng dẫn mạnh mẽ hơn như một phần của mọi lời nhắc và đầu vào suy luận.

Tuy nhiên, với các tiêu chuẩn bảo mật của bạn được nhúng như trong ví dụ trên, cùng một lời nhắc sẽ tạo ra một hàm với các biến môi trường được mã hóa bằng KMS, một nhóm nhật ký CloudWatch với thời gian lưu giữ 90 ngày, IAM với quyền hạn tối thiểu, vị trí VPC trong các mạng con riêng tư, một hàng đợi thư chết (dead-letter queue) và theo dõi AWS X-Ray—tất cả đều tự động.

Nơi nó hoạt động:

Cách tiếp cận ngữ cảnh liên tục này áp dụng trên cả hai công cụ và tất cả các quy trình làm việc tạo cơ sở hạ tầng:

• Amazon Q Developer IDE Plugin: Các quy tắc trong .amazonq/rules/ tự động áp dụng cho mọi tương tác tạo và xem xét mã.
• Kiro: Các tệp điều khiển cung cấp cho tác nhân nhận thức kiến trúc và bảo mật liên tục trên các phiên và dự án.

Tác động “shift-left”:

Cách tiếp cận này không thay thế cho tự động hóa bảo mật tích hợp và phân phối liên tục (CI/CD) hiện có của bạn. Nó là một sự bổ sung mạnh mẽ cho nó, và sự khác biệt đó rất quan trọng. Bằng cách nhúng các tiêu chuẩn bảo mật trực tiếp vào quy trình làm việc phát triển, bạn dịch chuyển xác thực bảo mật sang trái hơn so với những gì kiểm tra pipeline có thể đạt được. Các nhà phát triển trong toàn tổ chức của bạn, không chỉ các chuyên gia bảo mật, có thể tạo cơ sở hạ tầng đáp ứng các tiêu chuẩn bảo mật của bạn ngay từ dòng mã đầu tiên. Điều này mở rộng chuyên môn bảo mật sang các vai trò không chuyên về bảo mật, trao quyền cho các nhóm phát triển tự phục vụ các yêu cầu tuân thủ và giảm số lượng phát hiện đạt đến kiểm tra pipeline tự động của bạn.

Kết quả là bảo mật hoạt động như một yếu tố thúc đẩy phát triển nhanh hơn thay vì một rào cản làm chậm nó, và các kỹ sư bảo mật dành thời gian của họ cho thiết kế chính sách và các quyết định rủi ro phức tạp thay vì khắc phục các cấu hình sai có thể tránh được.

Tác động có thể đo lường:

Theo dõi các số liệu này để định lượng giá trị của ngữ cảnh liên tục:

• Các phát hiện bảo mật trong quá trình xem xét mã: Thiết lập đường cơ sở 30–60 ngày trước khi bật tệp ngữ cảnh, sau đó so sánh.
• Thời gian từ phát triển đến triển khai: Theo dõi thời gian chu kỳ trung bình trước và sau.
• Chi phí khắc phục: Nghiên cứu cho thấy các lỗi được sửa trong quá trình phát triển tốn ít hơn đáng kể so với các lỗi được sửa trong sản xuất. Theo dõi tỷ lệ của riêng bạn trong 60 ngày.
• Tính nhất quán của tiêu chuẩn: Kiểm tra ngẫu nhiên một mẫu yêu cầu kéo cơ sở hạ tầng để tuân thủ 10 chính sách hàng đầu của bạn.

Khuyến nghị triển khai: Bắt đầu bằng cách mã hóa 10 chính sách bảo mật bị vi phạm thường xuyên nhất của bạn làm ngữ cảnh. Đo lường sự giảm thiểu các phát hiện cụ thể này trong 30–60 ngày để định lượng tác động đến nhóm của bạn.

2. Tăng tốc phân loại và điều tra phát hiện bảo mật

AWS Security Hub hợp nhất các phát hiện từ các dịch vụ như Amazon GuardDuty, AWS Config, Amazon Inspector và các công cụ bảo mật của bên thứ ba vào một bảng điều khiển duy nhất, cung cấp khả năng hiển thị phát hiện bảo mật tập trung và khả năng phân loại tích hợp trên môi trường AWS của bạn. AWS Security Hub Extended sẽ mang lại nhiều khả năng hơn nữa vào hỗn hợp này, cung cấp cho khách hàng quyền kiểm soát mở rộng và các cơ hội bổ sung để tận dụng các quy trình làm việc hỗ trợ AI được mô tả trong bài viết này ở quy mô lớn hơn và với sự tích hợp sâu hơn trên chuỗi công cụ bảo mật của bạn.

Kiro có thể bổ sung cho Security Hub bằng cách giúp bạn tương quan các phát hiện trên các tài khoản, hiểu ngữ cảnh CVE và phát triển các phương pháp khắc phục, bao gồm:

• Truy vấn các phát hiện bằng ngôn ngữ tự nhiên trên nhiều tài khoản AWS và AWS Region.
• Hiểu các CVE cụ thể và tác động tiềm tàng của chúng đối với cơ sở hạ tầng của bạn.
• Tạo các truy vấn điều tra cho AWS CloudTrail và Amazon Virtual Private Cloud (Amazon VPC) Flow Logs.
• Tương quan các sự kiện bảo mật trên các khoảng thời gian và dịch vụ khác nhau.
• Truy cập tài liệu bảo mật AWS và các phương pháp tốt nhất mới nhất.

Cách thức hoạt động – Giao thức ngữ cảnh mô hình (Model Context Protocols):

Để kích hoạt các khả năng này, Kiro sử dụng Model Context Protocols (MCPs)—một cách tiêu chuẩn hóa để các trợ lý AI kết nối an toàn với các công cụ, dịch vụ và nguồn dữ liệu bên ngoài, cho phép chúng thực hiện các hành động, truy xuất thông tin thời gian thực và tương tác với các API ngoài khả năng tích hợp sẵn của chúng.

Các máy chủ MCP mã nguồn mở cho AWS là một bộ máy chủ MCP chuyên biệt cho phép Kiro tương tác với các dịch vụ bảo mật AWS, cung cấp khả năng hiển thị thời gian thực về tư thế bảo mật của bạn. Để bắt đầu, hãy cấu hình các máy chủ MCP tập trung vào bảo mật trong tệp cài đặt Kiro của bạn (như trong ví dụ sau). Để biết hướng dẫn đầy đủ về cấu hình máy chủ MCP trong Kiro, hãy xem tài liệu Kiro MCP.

Lưu ý về xác thực: Trước khi truy vấn Security Hub, hãy xác minh rằng bạn đã cấu hình thông tin xác thực AWS hợp lệ cho tài khoản mục tiêu. Đặt giá trị AWS_PROFILE thành một hồ sơ được đặt tên trong tệp ~/.aws/credentials của bạn có các quyền thích hợp, hoặc cấu hình thông tin xác thực bằng cách sử dụng AWS Command Line Interface (AWS CLI) (`aws configure`). Nếu không có thông tin xác thực hợp lệ cho tài khoản mục tiêu, Kiro sẽ không thể truy xuất các phát hiện.

{
    "mcpServers": {
        "awslabs.aws-api-mcp-server": {
            "command": "uvx",
            "args": ["awslabs.aws-api-mcp-server@latest"],
            "env": {
                "FASTMCP_LOG_LEVEL": "ERROR",
                "AWS_PROFILE": "<PROFILE>",
                "AWS_REGION": "us-east-1"
            },
            "timeout": 120000,
            "disabled": false
        },
        "awslabs.cloudtrail-mcp-server": {
            "command": "uvx",
            "args": ["awslabs.cloudtrail-mcp-server@latest"],
            "env": {
                "FASTMCP_LOG_LEVEL": "ERROR",
                "AWS_PROFILE": "<PROFILE>"
            },
            "disabled": false
        },
        "awslabs.iam-mcp-server": {
            "command": "uvx",
            "args": ["awslabs.iam-mcp-server@latest"],
            "env": {
                "FASTMCP_LOG_LEVEL": "ERROR",
                "AWS_PROFILE": "<PROFILE>"
            },
            "disabled": false
        }
    }
}

Cấu hình các máy chủ MCP tập trung vào bảo mật sau đây để bắt đầu:

• AWS API MCP Server: Tương tác với Security Hub, GuardDuty, IAM Access Analyzer và AWS Config thông qua các lệnh AWS CLI.
• CloudTrail MCP Server: Phân tích nhật ký kiểm toán và giám sát tuân thủ.
• AWS IAM MCP Server: Quản lý người dùng, vai trò, chính sách và quyền IAM.
• AWS Knowledge MCP Server: Truy cập tài liệu bảo mật AWS và các phương pháp tốt nhất cập nhật.

Để có danh sách đầy đủ các máy chủ MCP có sẵn, hãy xem kho lưu trữ GitHub awslabs/mcp.

Ví dụ: truy vấn Security Hub với Kiro:

1. Mở terminal hoặc Kiro IDE của bạn.
2. Nhập lệnh sau:

"Show me all critical security findings from Security Hub in my production account ID <ACCOUNT ID>"

Ví dụ đầu ra:

> Found 4 critical security findings in account 123456789012:
## Configuration Issues (2)
1. SSM.7 - SSM documents block public sharing disabled
- Status: FAILED (since July 17, 2025)
- Impact: Systems Manager documents can be publicly shared
- Remediation: Enable block public sharing setting for SSM documents
- [Documentation](https://docs.aws.amazon.com/console/securityhub/SSM.7/remediation)
2. Config.1 - AWS Config not properly configured
- Status: FAILED (since March 4, 2025)
- Issue: Config isn't recording required IAM resource types (User, Role, Group, Policy)
- Standards affected: CIS, NIST 800-53, PCI DSS, AWS Foundational Security
- Remediation: Enable recording for IAM resources in AWS Config
- [Documentation](https://docs.aws.amazon.com/console/securityhub/Config.1/remediation)
## Vulnerabilities (2)
3. CVE-2020-36242 in Lambda function: MyLambdaOne
- Package: cryptography version 3.2.1
- CVSS Score: 9.1 (Critical)
- Issue: Integer/buffer overflow in Fernet encryption class
- Fix: Upgrade to cryptography 3.3.2
- Function: SPC-1233HH5R-MyLambdaOne-lUh3ESH0MdXF
4. CVE-2020-36242 in Lambda function: AutoUpdateMyLambdaOne
- Package: cryptography version 3.2.1
- CVSS Score: 9.1 (Critical)
- Same vulnerability as above
- Function: SPC-1233HH5R-AutoUpdateMyLambdaOne-d9HIBfxThbFW

Tác động thực tế:
Việc phân loại phát hiện bảo mật trước đây yêu cầu điều hướng nhiều bảng điều khiển, tương quan nhật ký thủ công và nghiên cứu cơ sở dữ liệu CVE có thể được tăng tốc đáng kể. Các nhóm đã tích hợp phân loại hỗ trợ AI vào quy trình làm việc Security Hub của họ báo cáo giảm thời gian trung bình để phân loại các phát hiện quan trọng từ hàng giờ xuống còn vài phút, cho phép ngăn chặn nhanh hơn và phạm vi bảo mật nhất quán hơn trên các tài khoản.

3. Tăng tốc khắc phục các phát hiện bảo mật trong cơ sở hạ tầng dưới dạng mã của bạn

Các trợ lý AI có thể quét mã cơ sở hạ tầng của bạn và gắn cờ các vấn đề bảo mật với các khuyến nghị sửa lỗi cụ thể. Tuy nhiên, việc triển khai các thay đổi này đòi hỏi phải xem xét, kiểm tra và xác thực cẩn thận trước khi bất kỳ thay đổi nào đến môi trường sản xuất.

Quan trọng: Các đề xuất khắc phục do AI tạo ra phải được một kỹ sư bảo mật có trình độ xem xét trước khi triển khai. Việc tự động áp dụng các thay đổi do AI tạo ra mà không có xác thực của con người có thể gây ra các cấu hình sai không mong muốn hoặc gián đoạn dịch vụ. Hãy coi đầu ra của AI là một điểm khởi đầu, không phải là một sản phẩm hoàn chỉnh.

Quy trình làm việc:
Bạn có thể thực hiện quy trình làm việc này trong Kiro hoặc Amazon Q Developer, tùy thuộc vào công cụ nào phù hợp với môi trường phát triển hiện có của bạn:

1. Yêu cầu Kiro hoặc Amazon Q Developer quét các tệp cơ sở hạ tầng của bạn và xác định các lỗ hổng bảo mật.
2. Xem xét các đề xuất khắc phục do AI tạo ra với nhóm bảo mật của bạn.
3. Kiểm tra các thay đổi trong môi trường phi sản xuất.
4. Xác thực bằng cách sử dụng các dịch vụ bảo mật AWS như IAM Access Analyzer, AWS Config và Security Hub.
5. Triển khai vào môi trường sản xuất với các quy trình giám sát và khôi phục.

Ví dụ lời nhắc:

"Scan my infrastructure at /path/to/templates, identify all S3 buckets without encryption, enable AES-256 encryption, add bucket policies to deny unencrypted uploads, and provide the deployment command"

Điều gì xảy ra:

Trợ lý AI phân tích các tệp cơ sở hạ tầng của bạn, cho dù được viết bằng AWS CloudFormation, Terraform hay AWS Cloud Development Kit (AWS CDK), và xác định các tài nguyên vi phạm các phương pháp bảo mật tốt nhất. Sau đó, nó triển khai các kiểm soát như mã hóa dữ liệu tĩnh bằng AWS Key Management Service (AWS KMS) hoặc các khóa do Amazon Simple Storage Service (Amazon S3) quản lý, thêm các chính sách nhóm để thực thi mã hóa dữ liệu đang truyền, cấu hình chặn truy cập công cộng và tạo lệnh triển khai chính xác với bản xem trước thay đổi để bạn có thể xem xét những gì sẽ được sửa đổi trước khi bất kỳ điều gì được áp dụng.

Dựa trên tệp ngữ cảnh tiêu chuẩn bảo mật ví dụ ở trên, các kiểm soát sau đây sẽ được áp dụng trên tất cả cơ sở hạ tầng được tạo: mã hóa dữ liệu tĩnh và dữ liệu đang truyền, các chính sách IAM với quyền hạn tối thiểu, tối ưu hóa nhóm bảo mật, cấu hình VPC, bật ghi nhật ký và cài đặt sao lưu và khôi phục.

Yêu cầu xác thực:
Các cấu hình do AI tạo ra xứng đáng được xem xét kỹ lưỡng như các mã cơ sở hạ tầng khác. Ngay cả một chính sách có vẻ đúng trên bề mặt cũng có thể cần điều chỉnh để phù hợp với các tiêu chuẩn quyền hạn tối thiểu của tổ chức bạn, hoặc cài đặt mã hóa có thể cần điều chỉnh để đáp ứng các yêu cầu tuân thủ cụ thể. Chạy các thay đổi đó qua môi trường phi sản xuất và có người xác nhận kết quả trước khi bất kỳ điều gì đến môi trường sản xuất là một phần của các thực hành cơ sở hạ tầng tốt, cho dù mã được viết bởi một người hay được tạo bởi AI.

Tác động thực tế:

Việc xác định các tài nguyên không tuân thủ trên nhiều tài khoản theo cách thủ công có thể mất nhiều giờ và việc tạo các mẫu khắc phục cho từng tài nguyên có thể thêm đáng kể thời gian. Các nhóm bảo mật đã áp dụng quét cơ sở hạ tầng hỗ trợ AI báo cáo dành ít thời gian hơn cho việc xác định thủ công và tạo mẫu, và với sự hỗ trợ của AI, cùng một công việc xác định và soạn thảo có thể được hoàn thành trong thời gian ngắn hơn nhiều. Khách hàng báo cáo rằng một chu trình khắc phục hoàn chỉnh trước đây chiếm phần lớn thời gian của nhóm trong một ngày có thể được hoàn thành trong vòng chưa đầy một giờ khi AI xử lý việc quét và tạo mẫu. Điều đáng chú ý là thời gian khắc phục thủ công tăng lên đáng kể ở quy mô lớn, vì việc khắc phục hàng chục tài nguyên không tuân thủ không phải là một bài tập tuyến tính. Thời gian xác thực trong môi trường phi sản xuất vẫn rất cần thiết bất kể cách khắc phục được tạo ra như thế nào, và luôn phải được tính vào kế hoạch của bạn.

4. Thực hiện đánh giá bảo mật chuyên sâu

Amazon Q Developer và Kiro có thể phân tích mã cơ sở hạ tầng của bạn và xác định các vấn đề bảo mật tiềm ẩn trên nhiều danh mục phù hợp với Trụ cột Bảo mật của AWS Well-Architected Framework.

Sử dụng Amazon Q Developer:

1. Mở tệp cơ sở hạ tầng của bạn trong IDE.
2. Chọn mã bạn muốn xem xét.
3. Mở menu ngữ cảnh và chọn Send to Amazon Q, sau đó chọn Optimize.
4. Chọn Focus on security best practices.

Sử dụng Kiro:

1. Mở tệp cơ sở hạ tầng của bạn trong Kiro.
2. Nhập một lời nhắc ngôn ngữ tự nhiên như: `Perform a comprehensive security review of this CloudFormation template and identify all deviations from our standards.`
3. Kiro sẽ tự động áp dụng các tệp điều khiển của bạn làm ngữ cảnh bổ sung khi tạo phản hồi.
4. Xem xét các phát hiện và lặp lại với các lời nhắc tiếp theo.

Các danh mục bảo mật được đánh giá: Để có danh sách đầy đủ, cập nhật các danh mục và kiểm soát bảo mật, hãy xem tài liệu Trụ cột Bảo mật của AWS Well-Architected Framework. Các danh mục hiện tại bao gồm nhưng không giới hạn ở:

• Quản lý danh tính và truy cập: Các chính sách IAM quá rộng, thiếu yêu cầu xác thực đa yếu tố (MFA), thông tin xác thực và khóa truy cập không sử dụng, rủi ro truy cập liên tài khoản.
• Kiểm soát phát hiện: Cấu hình ghi nhật ký CloudTrail, phạm vi cảnh báo Amazon CloudWatch, trạng thái bật GuardDuty và triển khai quy tắc AWS Config.
• Bảo vệ cơ sở hạ tầng: Cấu hình sai nhóm bảo mật, phơi nhiễm mạng con công cộng, thiếu quy tắc AWS WAF, lưu lượng mạng không được mã hóa.
• Bảo vệ dữ liệu: Trạng thái mã hóa lưu trữ, chính sách xoay vòng khóa KMS, cấu hình sao lưu, kiểm soát truy cập nhóm S3.
• Phản ứng sự cố: Thiết lập cảnh báo Amazon Simple Notification Service (Amazon SNS), chính sách lưu giữ nhật ký, cơ chế phản ứng tự động.

Ví dụ đầu ra:

Security Recommendations:
- Enable S3 bucket encryption with KMS: Critical
- Implement least privilege IAM policies: High
- Enable GuardDuty threat detection: High
- Configure VPC Flow Logs: Medium
- Add WAF rules for API Gateway: Medium
- Enable CloudTrail in all regions: Critical
- Implement automated backup policies: High
Total security improvements: 23 findings across 5 Well-Architected pillars

Giữ các tệp cấu hình của bạn luôn cập nhật:

Việc xem xét của kiến trúc sư bảo mật vẫn có giá trị để giữ cho các tệp điều khiển và tài liệu quy tắc của bạn hoàn chỉnh và cập nhật. Mục tiêu là một trợ lý AI đã hiểu môi trường của bạn, chứ không phải một trợ lý cần được sửa sau mỗi tương tác. Hãy coi các tệp cấu hình của bạn là tài liệu sống và cập nhật chúng khi các tiêu chuẩn bảo mật của bạn phát triển, khi các dịch vụ mới được áp dụng hoặc khi các đánh giá sau sự cố tiết lộ các lỗ hổng. Như bài viết này đã lưu ý, các quy tắc dự án giảm thiểu sự trôi dạt kiến trúc và giúp duy trì tính nhất quán khi các tác nhân AI hoạt động tự chủ hơn.

Tác động thực tế:

Các đánh giá bảo mật trước đây yêu cầu một kỹ sư bảo mật phải kiểm tra thủ công các mẫu cơ sở hạ tầng từng dòng có thể được hoàn thành trong thời gian ngắn hơn đáng kể với sự hỗ trợ của AI. Các nhóm sử dụng đánh giá bảo mật hỗ trợ AI làm cổng tiền cam kết—trước khi mã đến kiểm tra pipeline CI/CD—báo cáo đã phát hiện một phần đáng kể các phát hiện bảo mật sớm hơn trong chu trình phát triển, nơi chúng nhanh hơn và ít tốn kém hơn để giải quyết. Việc tích hợp bước xem xét này vào quy trình làm việc yêu cầu kéo có nghĩa là xác thực bảo mật diễn ra liên tục thay vì chỉ tại các cổng triển khai.

5. Hỗ trợ phát triển chính sách kiểm soát dịch vụ

Bạn có thể sử dụng Chính sách kiểm soát dịch vụ (SCPs) của AWS Organizations để áp dụng các kiểm soát phòng ngừa một cách nhất quán trên mọi tài khoản trong tổ chức của bạn, thực thi các đường cơ sở bảo mật mà không cần dựa vào các quản trị viên tài khoản cá nhân. Kiro có thể tạo các bản nháp SCP ban đầu từ các yêu cầu bảo mật ngôn ngữ tự nhiên, tăng tốc đáng kể quá trình soạn thảo và lặp lại. Vì SCP là các kiểm soát phòng ngừa mà quản trị viên không thể bỏ qua, các cấu hình sai có thể gây ra gián đoạn dịch vụ trên toàn tổ chức, khiến việc xác thực của chuyên gia và kiểm tra theo giai đoạn trở nên cần thiết trước khi bất kỳ SCP nào đến môi trường sản xuất.

Bước 1: Tạo bản nháp SCP:

Mô tả các yêu cầu bảo mật của bạn bằng ngôn ngữ tự nhiên:

"Create an SCP with these security controls:
- Deny creation of S3 buckets without encryption
- Require MFA for IAM user console access
- Prevent public RDS snapshots
- Deny security group rules allowing 0.0.0.0/0 on sensitive ports
- Enforce encryption for all EBS volumes
- Require VPC Flow Logs on all VPCs
- Deny IAM policy creation without approval tags
- Restrict resource creation to approved regions only"

Kiro tạo một JSON chính sách SCP hoàn chỉnh với các câu lệnh từ chối phù hợp, khóa điều kiện để thực thi MFA và mã hóa, các hạn chế cấp tài nguyên và các yêu cầu tuân thủ khu vực.

Bước 2: Xác thực và kiểm tra cú pháp SCP:

Sử dụng Kiro hoặc Amazon Q Developer để hỗ trợ kiểm tra cú pháp chính sách và kiểm tra ban đầu như một lớp xác thực đầu tiên. IAM Policy Autopilot, có sẵn dưới dạng Kiro Power với cài đặt một cú nhấp chuột trực tiếp từ Kiro IDE, có thể phân tích việc sử dụng ứng dụng của bạn và tạo các quyền cần thiết dựa trên các lệnh SDK mà nó phát hiện. IAM Policy Autopilot cũng tích hợp như một máy chủ MCP với Kiro, Amazon Q Developer và các trợ lý mã hóa tương thích MCP khác, biến nó thành một phần tự nhiên trong quy trình làm việc hiện có của bạn thay vì một công cụ riêng biệt.

"Review this SCP JSON for syntax errors, overly broad deny statements, and missing condition keys. Flag any statements that could unintentionally block legitimate operations."

IAM Policy Simulator sau đó thêm một lớp xác thực khác lên trên việc kiểm tra cú pháp hỗ trợ AI, để bạn có thể kiểm tra hành vi chính sách, xác minh các khóa điều kiện được áp dụng chính xác và xác nhận rằng không có hoạt động hợp pháp nào bị chặn một cách vô ý. IAM Policy Autopilot bổ sung cho các công cụ IAM hiện có như IAM Access Analyzer bằng cách cung cấp các chính sách chức năng làm điểm khởi đầu, mà bạn sau đó có thể xác thực bằng cách sử dụng xác thực chính sách IAM Access Analyzer hoặc tinh chỉnh theo thời gian với phân tích truy cập không sử dụng. Cùng nhau, các công cụ này tạo thành một cách tiếp cận xác thực theo lớp, trong đó mỗi công cụ củng cố đầu ra của bước trước đó.

Bước 3: Kiểm tra trong môi trường sandbox:

Tạo một đơn vị tổ chức (OU) thử nghiệm với các tài khoản phi sản xuất và áp dụng SCP cho OU thử nghiệm. Thực hiện các hoạt động phải bị chặn và xác nhận rằng không có hoạt động hợp pháp nào bị chặn một cách vô ý. Sử dụng Kiro để tiền xác thực mã cơ sở hạ tầng của bạn so với SCP được đề xuất trước khi kiểm tra sandbox:

"Analyze my current infrastructure against this proposed SCP and identify resources that would be non-compliant"

Quá trình quét này bao gồm các tệp mã cơ sở hạ tầng của bạn. Để quét tài khoản trực tiếp trên toàn tổ chức của bạn, hãy sử dụng các dịch vụ AWS sau:

• AWS Config với Config Aggregator và Conformance Packs để giám sát tuân thủ liên tục trên toàn tổ chức của bạn.
• IAM Access Analyzer để phân tích tự động dựa trên lý luận về quyền truy cập bên ngoài, quyền truy cập nội bộ và các quyền không sử dụng.
• Account Assessment for AWS Organizations để quét hàng loạt các chính sách dựa trên danh tính, dựa trên tài nguyên và kiểm soát dịch vụ trên tất cả các tài khoản.
• Security Hub để tổng hợp tập trung các phát hiện tuân thủ và điểm bảo mật trên toàn bộ tổ chức của bạn.

Bước 4: Đánh giá của kiến trúc sư bảo mật:

Thu hút các kiến trúc sư bảo mật của bạn để xác định các rủi ro tiềm ẩn và xác minh chính sách phù hợp với khung bảo mật của bạn. Kiểm tra các xung đột với các SCP hiện có bằng cách xem xét tất cả các SCP được đính kèm vào các OU cha và gốc trong bảng điều khiển AWS Organizations. Sử dụng IAM Policy Simulator để kiểm tra các tương tác giữa các chính sách và xác minh rằng các quy trình truy cập khẩn cấp (SEC03-BP03 Establish emergency access process – Security Pillar và SEC10-BP05 Pre-provision access – Security Pillar) vẫn hoạt động trước khi triển khai sản xuất.

Bước 5: Triển khai theo giai đoạn:

Triển khai cho các tài khoản phát triển trước tiên và giám sát các vi phạm chính sách và các vấn đề vận hành. Dần dần mở rộng sang các môi trường bổ sung và duy trì các quy trình khôi phục được ghi lại trong suốt quá trình.

Quan trọng: Rất khuyến nghị không triển khai các SCP do AI tạo ra trực tiếp vào môi trường sản xuất mà không có sự xem xét kỹ lưỡng của chuyên gia và kiểm tra theo giai đoạn. Một SCP được cấu hình sai có thể gây ra gián đoạn dịch vụ trên toàn tổ chức ảnh hưởng đến mọi tài khoản trong tổ chức của bạn.

Tác động thực tế:

Việc soạn thảo SCP trước đây yêu cầu các kiến trúc sư bảo mật phải viết và lặp lại các tài liệu chính sách JSON phức tạp theo cách thủ công, thường kéo dài nhiều chu kỳ xem xét trong vài ngày, có thể được rút ngắn khi AI xử lý việc soạn thảo và kiểm tra cú pháp ban đầu. Các kiến trúc sư của bạn sau đó có thể tập trung thời gian của họ vào thiết kế chính sách, phân tích các trường hợp biên và đánh giá tác động tổ chức thay vì cú pháp và cấu trúc JSON.

Khung triển khai có trách nhiệm

Việc áp dụng các quy trình làm việc bảo mật hỗ trợ AI hiệu quả nhất khi được giới thiệu dần dần, với các cổng xác thực rõ ràng ở mỗi giai đoạn. Cách tiếp cận hai giai đoạn sau đây giúp nhóm của bạn có thời gian xây dựng sự tự tin, đo lường kết quả và thiết lập các thực hành nội bộ cần thiết trước khi mở rộng sang môi trường sản xuất.

• Giai đoạn 1: Phát triển và kiểm tra (tuần 1–4): Bắt đầu bằng cách kiểm tra các kiểm soát bảo mật do AI tạo ra trong các tài khoản phát triển bị cô lập. Xác thực chức năng, xác định các trường hợp biên và triển khai vào môi trường kiểm tra chuyên dụng với xác thực bảo mật kỹ lưỡng. Sử dụng IAM Access Analyzer, AWS Config và Security Hub để xác minh rằng các kiểm soát được tạo hoạt động như mong đợi. Giai đoạn này cũng là thời điểm thích hợp để xây dựng chuyên môn nội bộ trên cả nhóm bảo mật và nhóm phát triển của bạn, để kiến thức về những gì hoạt động và những gì yêu cầu xem xét của con người được chia sẻ rộng rãi ngay từ đầu.
• Giai đoạn 2: Staging và sản xuất (tuần 5 trở đi): Áp dụng các kiểm soát đã được xác thực cho môi trường staging phản ánh môi trường sản xuất. Tiến hành kiểm tra thâm nhập khi thích hợp và xác thực rằng giám sát và cảnh báo hoạt động chính xác trước khi mở rộng thêm. Dần dần triển khai cho các tài khoản sản xuất với giám sát liên tục. Duy trì các quy trình khôi phục trong suốt quá trình và thiết lập các vòng lặp phản hồi để các bài học kinh nghiệm trong sản xuất được đưa trở lại các tệp điều khiển, tài liệu quy tắc và quy trình xác thực của bạn theo thời gian.

Những điểm chính

Điều làm nên sự khác biệt của cách tiếp cận trong bài viết này so với hướng dẫn chung về các trợ lý mã hóa AI là tính đặc thù của việc tích hợp bảo mật. Không thiếu nội dung về cách các trợ lý AI tăng tốc phát triển. Điều mà bài viết này tập trung vào là cách cấu hình cả Kiro và Amazon Q Developer để thực hiện các tác vụ cụ thể về bảo mật: phân loại các phát hiện từ Security Hub, khắc phục các lỗ hổng mã cơ sở hạ tầng theo các tiêu chuẩn đã xác định của tổ chức bạn, tiến hành các đánh giá bảo mật Well-Architected chuyên sâu, soạn thảo và xác thực SCP, và tạo cơ sở hạ tầng an toàn theo mặc định thông qua ngữ cảnh liên tục phản ánh môi trường của bạn thay vì các mặc định chung.

Kiro là một IDE tác nhân giúp bạn đi từ nguyên mẫu đến sản xuất với phát triển theo đặc tả, và các tệp điều khiển của nó cung cấp cho tác nhân nhận thức liên tục về các tiêu chuẩn bảo mật của bạn trong mọi phiên. Amazon Q Developer bổ sung điều này bằng cách cung cấp sự tích hợp sâu rộng vào môi trường AWS và quy trình làm việc IDE hiện có của bạn. Cùng nhau, các công cụ này mở rộng phạm vi tiếp cận của nhóm bảo mật của bạn vào mọi giai đoạn của vòng đời phát triển, mở rộng chuyên môn bảo mật sang các nhóm phát triển và giảm khoảng cách giữa thời điểm các lỗ hổng được giới thiệu và thời điểm chúng được phát hiện. Như Trụ cột Bảo mật của AWS Well-Architected Framework đã thiết lập, việc nhúng bảo mật sớm và nhất quán trong suốt quá trình phát triển là nền tảng cho một tư thế bảo mật mạnh mẽ.

Năm kỹ thuật này không phải là để thay thế các kiểm soát bảo mật của bạn. Chúng là để biến bảo mật thành một phần tự nhiên trong cách các nhóm của bạn xây dựng trên AWS, bất kể họ là chuyên gia bảo mật hay nhà phát triển ứng dụng. Ngoài năm kỹ thuật được đề cập trong bài viết này, các khả năng AWS sau đây bổ sung cho cách tiếp cận này và đáng để khám phá để có một bức tranh hoàn chỉnh hơn:

• Amazon Inspector là một dịch vụ quản lý lỗ hổng liên tục quét các khối lượng công việc AWS để tìm các lỗ hổng phần mềm, lỗ hổng mã và phơi nhiễm mạng không mong muốn. Nó tự động phát hiện và quét các phiên bản Amazon EC2, hình ảnh container trong Amazon ECR, các hàm AWS Lambda và các kho lưu trữ mã của bên thứ nhất. Amazon Inspector tích hợp trực tiếp vào các pipeline CI/CD thông qua các plugin cho Jenkins, TeamCity, GitHub Actions và Amazon CodeCatalyst, mà các nhóm có thể sử dụng để phát hiện lỗ hổng trước khi triển khai. Các khả năng bảo mật mã của nó bao gồm Kiểm tra bảo mật ứng dụng tĩnh (SAST), Phân tích thành phần phần mềm (SCA) và quét cơ sở hạ tầng dưới dạng mã (IaC), với tích hợp gốc với GitHub và GitLab. Tất cả các phát hiện đều được hiển thị trực tiếp trong Security Hub để có khả năng hiển thị và phản ứng tập trung trên toàn tổ chức của bạn.
• Quét bảo mật của Amazon Q Developer cung cấp khả năng phát hiện vấn đề bảo mật theo thời gian thực trong IDE, bao gồm quét SAST cho các lỗ hổng bảo mật, phát hiện bí mật, đánh giá bảo mật IaC và phân tích thành phần phần mềm cho các phụ thuộc của bên thứ ba. Các khả năng này có sẵn trên JetBrains, Visual Studio Code và Visual Studio.
• Kiro Powers là các máy chủ MCP được tuyển chọn và đóng gói sẵn, các tệp điều khiển và các hook được các đối tác Kiro xác thực để tăng tốc các trường hợp sử dụng phát triển và triển khai chuyên biệt. Các Kiro Powers liên quan đến bảo mật bao gồm IAM Policy Autopilot Kiro Power để tạo chính sách IAM cơ bản và mẫu máy chủ MCP xác thực bảo mật mã hóa thời gian thực cho Kiro.
• AWS Security Agent là một tác nhân AI tiên phong chủ động bảo mật các ứng dụng của bạn trong suốt vòng đời phát triển. Các nhóm bảo mật xác định các yêu cầu bảo mật của tổ chức một lần trong bảng điều khiển AWS Security Agent, chẳng hạn như các thư viện mã hóa được phê duyệt, khung xác thực và tiêu chuẩn ghi nhật ký, và AWS Security Agent sau đó tự động xác thực các yêu cầu này trong suốt quá trình phát triển bằng cách đánh giá các tài liệu kiến trúc và mã so với các tiêu chuẩn đã xác định của bạn. Nó cung cấp ba khả năng cốt lõi: đánh giá bảo mật thiết kế cho các tài liệu kiến trúc, đánh giá bảo mật mã tự động phân tích các yêu cầu kéo so với các tiêu chuẩn đã xác định của bạn trên các kho lưu trữ được kết nối, và kiểm tra thâm nhập theo yêu cầu phát hiện, xác thực và báo cáo các lỗ hổng thông qua các kịch bản tấn công nhiều bước phức tạp được tùy chỉnh cho từng ứng dụng. Khi phát hiện lỗ hổng, AWS Security Agent tạo các yêu cầu kéo với các bản sửa lỗi sẵn sàng triển khai trực tiếp trong kho lưu trữ mã của bạn. Khách hàng báo cáo rằng AWS Security Agent nén thời gian kiểm tra thâm nhập từ vài tuần xuống còn vài giờ, biến kiểm tra thâm nhập từ một nút thắt cổ chai định kỳ thành một khả năng theo yêu cầu giúp giảm rủi ro phơi nhiễm và mở rộng các đánh giá bảo mật để phù hợp với tốc độ phát triển.
• Phản ứng và khắc phục tự động của AWS Security Hub cung cấp các playbook được xây dựng sẵn cho các phát hiện phổ biến bằng cách sử dụng AWS Systems Manager Automation, cho phép nhóm của bạn hành động trên các phát hiện nhanh hơn và nhất quán hơn.

Bắt đầu

Nếu bạn mới làm quen với các quy trình làm việc bảo mật hỗ trợ AI, cách tiếp cận từng tuần sau đây sẽ cung cấp cho nhóm của bạn một lộ trình thực tế mà không bị quá tải trước khi nền tảng được thiết lập.

• Tuần 1 và 2: Thiết lập các tệp ngữ cảnh liên tục của bạn với 10 chính sách bảo mật hàng đầu của bạn như được mô tả trong phần thiết lập nền tảng ở trên. Cấu hình các máy chủ MCP trong Kiro để truy cập Security Hub và CloudTrail và xác minh rằng thông tin xác thực được cấu hình chính xác cho các tài khoản mục tiêu của bạn.
• Tuần 3 và 4: Chạy đánh giá bảo mật hỗ trợ AI đầu tiên của bạn trên một mẫu cơ sở hạ tầng phi sản xuất. So sánh các phát hiện với đánh giá thủ công cuối cùng của bạn để thiết lập đường cơ sở để đo lường tác động theo thời gian.
• Tuần 5 và 6: Thử nghiệm soạn thảo SCP hỗ trợ AI cho một kiểm soát phòng ngừa mới. Chạy quy trình xác thực đầy đủ bao gồm kiểm tra cú pháp hỗ trợ AI, IAM Policy Autopilot và IAM Policy Simulator trước khi áp dụng sản xuất.
• Từ thời điểm đó trở đi: Đo lường các số liệu được nêu trong phần thiết lập nền tảng, cập nhật các tệp điều khiển và tài liệu quy tắc của bạn khi các tiêu chuẩn của bạn phát triển, và chia sẻ các phát hiện trên nhóm bảo mật, nhóm phát triển và nhóm kỹ thuật nền tảng của bạn. Kiến thức về những gì hoạt động và những gì yêu cầu sự đánh giá của con người có giá trị đối với tất cả những người chạm vào cơ sở hạ tầng trong tổ chức của bạn.

Kết luận

Kiro và Amazon Q Developer cung cấp cho các nhóm bảo mật các công cụ thực tế để tăng tốc phản ứng với mối đe dọa và duy trì phạm vi bảo mật nhất quán bằng cách xử lý các tác vụ tiêu tốn nhiều thời gian nhất với giá trị chiến lược thấp nhất: quét các cấu hình sai đã biết, soạn thảo JSON chính sách, nghiên cứu CVE và tạo cơ sở hạ tầng an toàn theo mặc định. Các trợ lý AI này hiệu quả nhất khi được kết hợp với các kỹ sư bảo mật, vì chúng tăng tốc đánh giá và tạo mã trong khi xem xét của con người, thiết kế chính sách và đánh giá rủi ro vẫn rất cần thiết trong suốt quá trình.

Bằng cách triển khai năm kỹ thuật được nêu trong bài viết này, bắt đầu bằng việc nhúng các phương pháp bảo mật tốt nhất thông qua ngữ cảnh liên tục và sau đó áp dụng nền tảng đó vào phân loại phát hiện Security Hub, khắc phục lỗ hổng mã cơ sở hạ tầng, đánh giá bảo mật Well-Architected chuyên sâu và phát triển SCP, nhóm của bạn có thể tăng cường tư thế bảo mật AWS của bạn trong khi duy trì các tiêu chuẩn mà tổ chức của bạn yêu cầu.

Các dịch vụ AWS như Security Hub, IAM Access Analyzer, AWS Config và CloudTrail cung cấp nền tảng cho các quy trình làm việc hỗ trợ AI này, cho phép khả năng hiển thị tập trung và xác thực tự động các kiểm soát bảo mật trên môi trường của bạn. Các quy trình truy cập khẩn cấp nên được thiết lập và xác thực trước khi triển khai bất kỳ kiểm soát phòng ngừa nào như SCP, tuân theo hướng dẫn “break-glass” trong Trụ cột Bảo mật của AWS Well-Architected và Hướng dẫn theo quy định của AWS về quyền truy cập “break-glass”.

Bắt đầu nhỏ với các môi trường phi sản xuất, thiết lập các quy trình xác thực rõ ràng, đo lường kết quả và dần dần mở rộng việc sử dụng các trợ lý AI khi nhóm của bạn xây dựng chuyên môn và sự tự tin. Kết quả là phản ứng nhanh hơn với mối đe dọa, phạm vi bảo mật nhất quán hơn và các kỹ sư bảo mật tập trung vào các quyết định phức tạp thay vì các tác vụ lặp đi lặp lại.

Tài nguyên bổ sung

• Trụ cột Bảo mật của AWS Well-Architected Framework – Các phương pháp bảo mật tốt nhất cơ bản trên năm trụ cột của Well-Architected Framework
• Các phương pháp tốt nhất của AWS Security Hub – Hướng dẫn quản lý lỗ hổng
• Tích hợp ITSM phản ứng sự cố bảo mật AWS – Tích hợp mã nguồn mở cho Jira và ServiceNow với Phản ứng sự cố bảo mật AWS, với hướng dẫn về việc sử dụng Kiro và Amazon Q Developer để tùy chỉnh nhanh chóng
• Blog Bảo mật AWS – Hướng dẫn bảo mật, câu chuyện khách hàng và thông báo mới nhất từ nhóm bảo mật AWS

Nếu bạn có phản hồi về bài viết này, hãy gửi bình luận trong phần Comments bên dưới.

Về tác giả

Roger Nem

Roger là Quản lý tài khoản kỹ thuật doanh nghiệp (TAM) hỗ trợ khách hàng Chăm sóc sức khỏe & Khoa học đời sống tại Amazon Web Services (AWS). Là chuyên gia cộng đồng Kỹ thuật Bảo mật, anh ấy giúp khách hàng doanh nghiệp thiết kế kiến trúc đám mây an toàn phù hợp với các phương pháp tốt nhất trong ngành. Ngoài công việc chuyên môn, Roger tìm thấy niềm vui trong thời gian chất lượng bên gia đình và bạn bè, nuôi dưỡng niềm đam mê âm nhạc và khám phá những điểm đến mới qua du lịch.