Remote SWE agents: autonomous coding với AWS Strands Agents
AWS Strands Agents + Bedrock AgentCore cho autonomous SWE agent. GitHub issue → PR. Threat model, IAM blast radius, audit. So sánh Copilot Workspace và Devin....
-
KhaVan - 7 phút đọc
Cloud Security
14 bài viết · RSS
← Tất cả bài viếtAWS Well-Architected custom lens: build riêng cho cloud security ở scale
Custom lens AWS Well-Architected: thêm pillar riêng cho org, JSON schema, deploy CloudFormation, attach workload. Use case Vietnam compliance Circular 09, Decree 53....
- KhaVan
- 7 phút đọc
AWS Security Services Best Practices: đọc cuốn cẩm nang mới
AWS vừa publish best-practices guide cho 10 dịch vụ bảo mật (GuardDuty, Security Hub, Macie, Inspector, WAF, Network Firewall). Cấu trúc guide và lộ trình triển khai thực tế....
- KhaVan
- 12 phút đọc
AWS Security Maturity Model v2: 4 phase áp dụng thực tế
AWS Security Maturity Model v2: 74 kiểm soát chia 4 giai đoạn (Quick Wins, Foundational, Efficient, Optimized), thứ tự nên làm, bẫy thường gặp, ánh xạ vào Organization....
- KhaVan
- 16 phút đọc
Bedrock từ Workers qua OIDC federation — case study production
Worker mint RS256 JWT → STS AssumeRoleWithWebIdentity → Bedrock Claude Opus. Số liệu thực: token 5ms, STS 200ms, Bedrock 2-3s, cached 50ms....
- KhaVan
- 9 phút đọc
AWS SMM Assessment Tool: đánh giá posture trong một chiều
Ghi chú dùng AWS Security Maturity Model Assessment Tool đánh giá posture theo 4 giai đoạn (Quick Wins, Foundational, Efficient, Optimized): kiến trúc, quy trình, JSON/Excel....
- KhaVan
- 11 phút đọc
hardeneks: EKS security checks ở CI vs sau-deploy
hardeneks là Python CLI chạy 100+ EKS best-practice check. Lý do tôi chạy ở PR thay vì weekly cron, so sánh kube-bench/kube-hunter, finding thực tế....
- KhaVan
- 9 phút đọc
AWS KMS Key Policies: hiểu đúng để không mất quyền truy cập
Cơ chế evaluation của KMS key policy, cross-account access, condition keys, grants, key rotation, production patterns. Kèm JSON policy examples và checklist cho production....
- KhaVan
- 15 phút đọc
GuardDuty auto-remediation: cô lập EC2 và thu hồi IAM
Pipeline tự động phản ứng sự cố bảo mật với GuardDuty, EventBridge và Lambda: cô lập instance, snapshot forensic, thu hồi credentials, mở rộng multi-account với Organizations....
- KhaVan
- 9 phút đọc
Flan: vulnerability scanner Cloudflare dùng trong production
Flan wrap nmap NSE + Vulners API trong Docker, xuất HTML/JSON. Vì sao Cloudflare tự host thay vì mua Tenable/Qualys, và cách integrate vào CI gate CVE....
- KhaVan
- 9 phút đọc
Đọc lại roadmap.sh Cyber Security 2026: góc nhìn cloud sec
roadmap.sh chia con đường cyber security thành 6 khối kỹ năng. Đọc lại đối chiếu với cloud security và Zero Trust, chỗ đúng, chỗ đã cũ, và thứ tự học nếu bắt đầu lại hôm nay....
- KhaVan
- 18 phút đọc
Workload Identity Federation AWS sang GCP: keyless auth
Workload Identity Federation deep dive: vì sao Service Account Key là anti-pattern, luồng token AWS STS → Google STS, attribute mapping, impersonation, threat model, Terraform....
- KhaVan
- 17 phút đọc
Chạy CSPM trên hơn chục AWS Landing Zone
Cách mình thiết kế CSPM engine nội bộ quét song song nhiều AWS Landing Zone bằng Prowler, lưu finding vào D1, artifact vào R2, dashboard duy nhất cho Security Operations....
- KhaVan
- 11 phút đọc
CFSSL trong production — Cloudflare's PKI toolkit cho internal CA
Tự host internal CA bằng CFSSL: cfssl init, intermediate CA, OCSP responder, multirootca, CI short-lived certs. So sánh AWS Private CA $400/tháng....
- KhaVan
- 8 phút đọc