Datenschutz in Amazon CloudFront - Amazon CloudFront

Datenschutz in Amazon CloudFront

Amazon CloudFront entspricht dem AWS-Modell der geteilten Verantwortung, das Richtlinien und Leitfäden für den Datenschutz umfasst. AWS ist für den Schutz der globalen Infrastruktur verantwortlich, die alle AWS-Services ausführt. AWS behält die Kontrolle über die in der Infrastruktur gehosteten Daten, einschließlich Sicherheitskonfigurationskontrollen für die Handhabung von Kundeninhalten und personenbezogenen Daten. AWS-Kunden und APN-Partner agieren entweder als Datenverantwortliche oder Datenverarbeiter und sind für alle personenbezogenen Daten verantwortlich, die sie in der AWS Cloud platzieren.

Zum Zweck des Datenschutzes empfehlen wir, die Anmeldeinformationen für das AWS-Konto zu schützen und individuelle Benutzerkonten mit AWS Identity and Access Management (IAM) einzurichten, damit jeder Benutzer nur die Berechtigungen besitzt, die er für seine beruflichen Aufgaben benötigt. Außerdem sollten Sie die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Factor Authentication (MFA).

  • Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein.

  • Verwenden Sie AWS-Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheits-Services wie Amazon Macie, um Unterstützung bei der Erkennung und beim Schutz von persönlichen Daten zu erhalten, die in Amazon S3 gespeichert sind.

Wir empfehlen dringend, in Freitextfeldern wie z. B. im Feld Name keine sensiblen, identifizierenden Informationen wie Kontonummern von Kunden einzugeben. Dies gilt auch, wenn Sie mit CloudFront oder anderen AWS-Services unter Verwendung von Konsole, API, AWS CLI oder AWS-SDKs arbeiten. Alle Daten, die Sie in CloudFront oder andere Services eingeben, werden möglicherweise in Diagnoseprotokolle aufgenommen. Wenn Sie eine URL für einen externen Server bereitstellen, schließen Sie keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL ein.

Weitere Informationen zum Datenschutz enthält der Blog-Post AWS Shared Responsibility Model and GDPR im AWS Security Blog.

Amazon CloudFront bietet mehrere Optionen, mit denen Sie die gebotenen Inhalte sichern können:

  • Konfigurieren von HTTPS-Verbindungen.

  • Konfigurieren einer Verschlüsselung auf Feldebene, um Daten während der Übertragung zu verschlüsseln.

  • Beschränken des Zugriffs auf Inhalte, sodass nur bestimmte Personen oder Personen eines bestimmten Bereichs diese sehen können.

Die folgenden Themen erläutern die Optionen im Detail.

Verschlüsselung während der Übertragung

Zum Verschlüsseln Ihrer Daten während der Übertragung konfigurieren Sie Amazon CloudFront so, dass Betrachter Ihre Dateien mit HTTPS anfordern müssen. Dadurch sind Verbindungen verschlüsselt, wenn CloudFront mit den Betrachtern kommuniziert. Sie können CloudFront auch dafür konfigurieren, HTTPS für den Abruf Ihrer Objekte von Ihrem Ursprung zu verwenden, damit Verbindungen verschlüsselt sind, wenn CloudFront mit Ihrem Ursprung kommuniziert.

Weitere Informationen finden Sie unter Verwenden von HTTPS mit CloudFront.

Die Verschlüsselung auf Feldebene fügt zusammen mit HTTPS eine zusätzliche Sicherheitsschicht hinzu, mit der Sie bestimmte Daten während der gesamten Systemverarbeitung schützen können, sodass nur bestimmte Anwendungen sie sehen können. Durch die Konfiguration der Verschlüsselung auf Feldebene in CloudFront können Sie vertrauliche Informationen in Ihre Webserver hochladen, die vom Benutzer übermittelt wurden. Die sensiblen Informationen, die Ihnen von Clients zur Verfügung gestellt werden, werden an dem Edge-Standort verschlüsselt, der näher am Benutzer ist. Die Verschlüsselung bleibt während des gesamten Anwendungs-Stacks erhalten. Auf diese Weise wird sichergestellt, dass nur Anwendungen, die die Daten benötigen (und über die Anmeldeinformationen zur Entschlüsselung verfügen) dazu in der Lage sind.

Weitere Informationen finden Sie unter Schutz vertraulicher Daten durch Verschlüsselung auf Feldebene.

Verschlüsselung im Ruhezustand

CloudFront verwendet SSDs, die für Edge-Standort-POPs (Points of Presence) verschlüsselt sind, und verschlüsselte EBS-Volumes für regionale Edge-Caches (RECs, Regional Edge Caches).

Einschränken des Zugriffs auf Inhalte

Viele Unternehmen, die Inhalte über das Internet bereitstellen, möchten den Zugriff auf Dokumente, Geschäftsdaten, Medien-Streams oder Inhalte, die nur für ausgewählte Benutzer gedacht sind, beschränken. Für eine sichere Bereitstellung dieser Inhalte mit Amazon CloudFront können Sie eine oder mehrere der Maßnahmen durchführen.

Verwenden signierter URLs oder Cookies

Sie können den Zugriff auf Inhalte auf ausgewählte Benutzer (z. B. Benutzer, die eine Gebühr bezahlt haben) beschränken, indem Sie signierte URLs oder Cookies verwenden, wenn Sie diese Inhalte mit CloudFront bereitstellen. Weitere Informationen finden Sie unter Bereitstellen von privaten Inhalten mit signierten URLs und signierten Cookies.

Beschränken des Zugriffs auf Inhalte in Amazon S3-Buckets

Wenn Sie den Zugriff auf Ihre Inhalte beispielsweise mithilfe von CloudFront-signierten URLs oder signierten Cookies beschränken, möchten Sie auch nicht, dass Personen über die direkte URL der Datei auf Dateien zugreifen können. Stattdessen möchten Sie, dass der Zugriff auf die Dateien nur über die CloudFront-URL möglich ist, sodass Ihre Schutzmechanismen funktionieren.

Wenn Sie einen Amazon S3-Bucket als Ursprung für eine CloudFront-Verteilung verwenden, können Sie eine Ursprungszugriffsidentität (OAI, Origin Access Identity) einrichten, um den Direktzugriff auf Ihre Inhalte zu verwalten. Eine Ursprungszugriffsidentität ist eine spezielle CloudFront-Benutzeridentität, die Sie mit Ihrer Verteilung verknüpfen können, sodass Sie alle oder nur einige Ihrer Amazon S3-Inhalte schützen können. Weitere Informationen darüber, wie Sie diese Funktion konfigurieren, finden Sie unter Beschränken des Zugriffs auf Amazon S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

Verwenden von AWS WAF-Web-ACLs

Sie können AWS WAF, einen Webanwendungsfirewall-Service, nutzen, um eine Web-Zugriffskontrollliste zu erstellen, die den Zugriff auf Ihre Inhalte beschränkt. Basierend auf den von Ihnen angegebenen Bedingungen wie zum Beispiel den IP-Adressen, von denen die Anforderungen stammen, oder den Werten von Abfragezeichenfolgen, reagiert CloudFront auf Anforderungen entweder mit den angeforderten Inhalten oder mit einem HTTP-Statuscode 403 (Forbidden). Weitere Informationen finden Sie unter Verwenden von AWS WAF zum Steuern des Zugriffs auf Ihre Inhalte.

Verwenden von geografische Einschränkungen

Mithilfe einer geografischen Einschränkung oder Geoblockierung können Sie verhindern, dass Benutzer aus bestimmten geografischen Regionen auf Inhalte zugreifen, die Sie über eine CloudFront-Verteilung bereitstellen. Beim Konfigurieren geografischer Einschränkungen können Sie aus verschiedenen Optionen wählen. Weitere Informationen finden Sie unter Einschränken der geografischen Verteilung von Inhalt.