12/08/2018, 16:19

AWS Overview - Một số thuật ngữ

Một số thuật ngữ thường dùng trên AWS. Tài liệu dựa trên WhitePaper "AWS_Security_Whitepaper_2016" Có thể xem thêm bài "AWS Overview" https://viblo.asia/p/aws-overview-naQZR7omlvx Glossary of terms Explains Access Key ID 1 chuỗi ký tự theo chuẩn AWS để cung cấp 1 identitfy duy nhất ...

Một số thuật ngữ thường dùng trên AWS. Tài liệu dựa trên WhitePaper "AWS_Security_Whitepaper_2016" Có thể xem thêm bài "AWS Overview" https://viblo.asia/p/aws-overview-naQZR7omlvx

Glossary of terms Explains
Access Key ID 1 chuỗi ký tự theo chuẩn AWS để cung cấp 1 identitfy duy nhất cho AWS user, nó kết hợp với Secres Access Key trở thành 1 cặp key authen (có thể xem như user, passwork)
Access control list (ACL) 1 List các quyền hoặc rule cho phép liên kết với Object hoặc resource Network. Đối với Subnet, ACL hoạt động như firewall cho phép controll traffic in/outbount. Đối với S3, ACL cho phép quản lý quyền read/write trên bucket hoặc object đối với AWS account
AMI Amazon Machine Image (AMI) có thể xem như một file Image, được encrypted để stored trên S3. Nó bao gồm tất cả các thông tin cần thiết để khởi động một instance với các software, config, ... đi kèm.
API Application Programming Interface (API) là một interface được viết dựa trên libraries và/hoặc OS, mà cho phép 1 application program thực hiện 1 action nào đó khi gọi đến API
Archive là một đơn vị lưu trử trong Gracier, được xem như 1 file mà bạn muốn store và được xem như 1 đơn vị storage cơ bản trong AWS Glacier. Nó thể dùng để store photo, video hoặc document. Mỗi archive có 1 unique ID kèm 1 description.
Authentication Authentication là xử lý để xác thực một người nào hoặc một chương trình, hay ai/cái gì có thể xác thực được vào hệ thống. Không chỉ là User được authentication, mà mỗi program muốn call các function qua API AWS đều phải được authenticate. AWS yêu cầu các request phải được authenticate sử dụng cryptographic hash function.
Auto-scaling Là một AWS service cho phép customer "tự động" scaling EC2 up/down dựa theo các điều kiện do bạn định nghĩa.
Availability Zone EC2 được location trong Available Zone và Regions. Mỗi AZ được thiết kế một cách độc lập với các AZ khác để tăng HA & tính chịu lỗi.
Bastion host 1 Computer được cấu hình đặc biệt, thuộc miền external/ public (DMZ) hoặc bên ngoài firewall, hoạt động như một server trung gian, cho phép bạn connect vào các Instance nằm trong Private Subnet. Bạn có thể setup một EC2 Instance như một SSH basion nằm trong Public Subnet của VPC.
Bucket Tập hợp các Object được store trong Amazon S3.
Certificate Certificate cho 1 vài sản phẩm AWS sử dụng để xác thực AWS Account và User. Cũng được biết là X.509 certificate. Certificate này được pair với private key.
CIDR block Classless Inter-Domain Routing block của IP addresses. Đây là kiến thức network cơ bản, có thể hiểu như một range IP (như là 172.16.x.x)
Client-size encryption Encryption data trên client site trước khi upload data đến Amazon S3.
CloudFormation AWS cung cấp service cho phép Customer lưu lại toàn bộ cấu hình Infrastructure của các AWS resource (VPC, SG, Instance type, RDS, S3, ....), giúp cho Customer có thể quản lý và cập nhật version phù hợp với application của họ. Khi cần thiết, có thể dùng CloudFormation để tạo ra các môi trường giống hệt nhau
Cognito Một AWS service giúp cho việc authenticate của user; Store, manage, và sync data giữa nhiều thiết bị (across muitiple devices), platform và application. Nó làm việc với nhiều identity provider (IdP) đang tồn tại và cũng support các user khách (guest) mà ko có nhu cầu xác thực (authenticate).
Credentials Cần thiết để xử lý authenticate đến AWS service. AWS credentials bao gồm password, secret access key cũng như X.509 certificate và multi-factor tokens.
Dedicated instance Là các EC2 instance mà có phần vật lý độc lập trên một Hardward (level host hardward) (i.e., các Instance sẽ chỉ run trên hardware single-tenant.
Digital signature Là một phương pháp mã hóa để xác thực tính an toàn và hợp lệ, cho phép người nhận (receiver) tin rằng message được tạo bởi 1 người gởi (sender) được ủy quyền. Digital Signature được sử dụng bởi customer để gởi các request được xác thực đến AWS API
Direct Connect Service Service này cung cấp kết nối vật lý dành riêng (dedicated connection) giữa network internal và AWS region với độ tin cây cao, bảo mật, .... Với kết nối dành riêng này (dedicate), bạn có thể tạo kết nối trực tiếp đến AWS cloud, VPC Amazon và bypass internet. Direct Connect khác với khái niệm VPN connection, (có thể sẽ có bài trình bày riêng về vấn đề này)
DynamoDB Một loại NoSQL database , do AWS phát triển
EBS Cung cấp block-level storage volume cho EC2 instance. EBS độc lập với EC2 Instance (nghĩa là khi bạn tắt EC2 Instance, EBS vẫn còn tồn tại, không bị xóa đi).
ElastiCache Setup, manage và scale cho in-memory cache trong cloud.
Elastic Beanstalk Tool deployment và management trên AWS, tư động cung cấp capacity, load balance và auto scaling cho application.
EIP Elastic IP address - Static/Public IP address - có thể assign đến mọi instance trong Amazon VPC, và EIP cũng độc lập với EC2 Instance.
ELB Elastic Load Balance - được sử dụng để phân phối traffic đến các EC2 Instance, cho phép across tất cả Available Zone trong Region để tăng HA và khả năng chịu lỗi.
ENI Trong 1 VPC, ENI là một second_network_interface mà bạn có thể attach đến EC2 Instance. Một Network Interface có thể được sử dụng để tạo một Management Network, Using Network hoặc Security Application trong VPC. Nó có thể dễ dàng attach & detach đến Instance. Và ENI cũng độc lập với EC2 Instance.
Endpoint Để giảm data latency trong ứng dụng, hầu hết AWS service cho phép bạn lựa chọn region_endpoint để gởi các request. Một vài web service cho phép bạn sử dụng endpoint mặc định mà không cần chỉ định Region; nhưng endpoint này resolve đến us-east-1 endpoint. Bạn có thể connect đến AWS endpoint thông qua HTTP hoặc HTTPS (với SSL).
Federated user User, System, hoặc application mà không được chứng thực để access đến AWS service, nhưng vẫn muốn access thông qua temporary. Federated sẽ cung cấp AWS Security Token Service (STS) APIs cho loại truy cập này.
Firewall Controll traffic in/outbound - chỉ định protocol, port và source IP address được phép access.
Guest OS Trong một môi trường Virtual Machine, nhiều hệ điều hành (OS) có thể chạy trên một hardware cụ thể. Mỗi một instance được xem là 1 Guest trên 1 host hardware và sử dụng OS riêng
Hash Một cryptographic hash function được sử dụng để tính toán 1 digital signature cho các request signing đến AWS API. Cryptographic hash là hàm 1 chiều, mà sẽ trả về một value hash duy nhất dựa trên input. Input của hash function bao gồm file text cho request & secres access key.
HMAC-SHA1/HMAC-SHA256 Trong mã hóa, một keyed-Hash Message Authentication Code (HMAC hoặc KHMAC), là 1 loại message authentication code (MAC) sử dụng thuật toán liên quan đến function cryptographic kết hợp với secret key. Với mọi MAC, nó có thể được sử dụng để đồng thời xác minh data integrity và authenticate của message. Mọi crytographic hash function, như là SHA-1 hoặc SHA-256, có thể được sử dụng để tính toán HMAC; kết quả của thuật toán MAC tương ứng là HMAC-SHA1 hoặc HMAC-SHA256.
Hardware Security Module (HSM) Một HSM là một ứng dụng, cung cấp key secure cryptographic cho storage và vận hành trên một thiết bị phần cứng tamper-resistant. HSM được thiết kế để bảo vệ cho cryptographic key và sử dụng key một cách an toàn - không bị outsite trên application. AWS Cloud HSM cung cấp ứng dụng HSM 1 cách dedicated & signal-tenance.
Hypervisor Hay còn được gọi là Virtual Machine Monitor (VMM), là một platform virtualization software/hardware nhằm cho phép nhiều OS chạy trên 1 host computer.
IAM Cho phép bạn tạo nhiều User và quản lý quyền của User trong một AWS Account.
Identity pool Store thông tin identity user trong Amazon Cognito của AWS account. Identity pools sử dụng IAM roles, đó là quyền không gắn với IAM user hoặc IAM Group cụ thể mà sử dụng các chứng chỉ tạm thời (temporary security credential) để xác thực đến các resource AWS mà được xác định trong IAM Role (có thể sẽ có bài trình bày riêng về IAM)
Identity Provider (IdP) Một dịch vụ online chịu trách nhiệm phát hành các identity cho User mà muốn tương tác với các service hoặc với các cooperation service khác. Như là các identity provider Facebook, Google và Amazon
Import/Export Service Là service cho phép transfer một lượng data lớn đến S3 hoặc EBS storage bằng cách shipping bằng thiết bị bảo mật vật lý 1 cách an toàn đến AWS.
Instance Một Instance là một server ảo, hay còn gọi là VM (resource hardward và guest OS).
IP address Địa chỉ IP (Internet Protocol)
IP spoofing Tạo ra các IP packet với IP source giả mạo, được gọi spoofing, với mục đích che giấu identity của người gởi (sender) hoặc giả mạo một PC khác.
Key Thuộc mã hóa, Key là một tham số (parameter) mà xác định output của thuật toán mã hóa (hàm băm). Một cặp khóa (key pair) là tập hợp các security credential cho bạn sử dụng để nhận dạng identity số hóa, bao gồm private key & public key
Key rotation Quá trình định kỳ thay đổi key mã hóa (cryptographic) được sử dụng để mã hóa dữ liệu (encrypting data) hoặc các yêu cầu số hóa. Gần giống như việc thay đổi password định kỳ, các key được rotating để giảm risk đối với các access không được xác thực - trong trường hợp attacker bằng cách nào đó lấy được key của bạn. AWS support access key và certificates, cho phép User định kỳ rotate keys và certificate mà không làm downtime application.
Mobile Analytics Là AWS service cho phép thu thập, hiển thị và hiểu dữ liệu mobile application. Nó cho phép bạn theo dõi hành vi của customer, tổng hợp số liệu (metric) và xác định các pattern hữu ích trong mobile application.
Multi-factor authentication (MFA) Sử dụng 2 hoặc nhiều thiết bị authentication factors. Authentication factors giống như password hoặc token (mà được generate từ chuỗi số ngẫu nhiên). AWS IAM cho phép User sử dụng six-digit (6 con số) (chỉ sử dụng 1 lần) như một khóa bảo mật thêm - kết hợp với user & password. Customer dùng single-use mà được tạo ra từ 1 thiết bị vật lý (smartphone, token device, ...) khi cần access vào AWS Management Console, ... (Tôi khuyên bạn nên enable MFA khi access đến AWS Resource)
Network ACLs Stateless traffic filter mà cho phép tất cả các traffic inbound hoặc outbound từ một subnet trong AWS VPC. Network ACL có thể thiết lập rule allow & deny traffic dựa vào IP protocol, bằng service port cũng như source/destination IP address.
Object Khái niệm dành cho AWS S3. Object bao gồm data và metadata.

Continue ...

0