Datenschutz in Amazon CloudFront - Amazon CloudFront

Datenschutz in Amazon CloudFront

Das Modell der übergreifenden Verantwortlichkeit von AWS gilt für den Datenschutz in Amazon CloudFront. Wie in diesem Modell beschrieben, ist AWS verantwortlich für den Schutz der globalen Infrastruktur, auf der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt enthält die Sicherheitskonfigurations- und Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services. Weitere Informationen zum Datenschutz finden Sie in den Häufig gestellten Fragen zum Datenschutz. Weitere Informationen zum Datenschutz enthält der Blog-Post AWS Shared Responsibility Model and GDPR im AWS Security Blog.

Aus Datenschutzgründen empfehlen wir, die Anmeldeinformationen des AWS-Kontos zu schützen und einzelne Benutzerkonten mit AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem sollten Sie die Daten mit folgenden Methoden schützen:

  • Verwenden Sie die Multi-Factor Authentication (MFA) für jedes Konto.

  • Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Wir empfehlen TLS 1.2 oder höher.

  • Richten Sie die API- und Benutzeraktivitätsprotokollierung mit AWS CloudTrail ein.

  • Verwenden Sie AWS-Verschlüsselungslösungen zusätzlich zu allen standardmäßigen Sicherheitskontrollen innerhalb von AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheits-Services wie Amazon Macie, um Unterstützung bei der Erkennung und beim Schutz von persönlichen Daten zu erhalten, die in Amazon S3 gespeichert sind.

  • Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-2.

Wir empfehlen dringend, in Freitextfeldern wie z. B. im Feld Name keine sensiblen, identifizierenden Informationen wie Kontonummern von Kunden einzugeben. Dies gilt auch, wenn Sie mit CloudFront oder unter Verwendung von Konsole, API, AWS CLI oder AWS SDKs mit anderen AWS-Services arbeiten. Alle Daten, die Sie in CloudFront oder andere Services eingeben, werden möglicherweise in Diagnoseprotokolle aufgenommen. Wenn Sie eine URL für einen externen Server bereitstellen, schließen Sie keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL ein.

Amazon CloudFront bietet mehrere Optionen, mit denen Sie die gebotenen Inhalte sichern können:

  • Konfigurieren von HTTPS-Verbindungen.

  • Konfigurieren einer Verschlüsselung auf Feldebene, um Daten während der Übertragung zu verschlüsseln.

  • Beschränken des Zugriffs auf Inhalte, sodass nur bestimmte Personen oder Personen eines bestimmten Bereichs diese sehen können.

Die folgenden Themen erläutern die Optionen im Detail.

Verschlüsselung während der Übertragung

Zum Verschlüsseln Ihrer Daten während der Übertragung konfigurieren Sie Amazon CloudFront so, dass Betrachter Ihre Dateien mit HTTPS anfordern müssen. Dadurch sind Verbindungen verschlüsselt, wenn CloudFront mit den Betrachtern kommuniziert. Sie können CloudFront auch dafür konfigurieren, HTTPS für den Abruf Ihrer Objekte von Ihrem Ursprung zu verwenden, damit Verbindungen verschlüsselt sind, wenn CloudFront mit Ihrem Ursprung kommuniziert.

Weitere Informationen finden Sie unter Verwenden von HTTPS mit CloudFront.

Die Verschlüsselung auf Feldebene fügt zusammen mit HTTPS eine zusätzliche Sicherheitsschicht hinzu, mit der Sie bestimmte Daten während der gesamten Systemverarbeitung schützen können, sodass nur bestimmte Anwendungen sie sehen können. Durch die Konfiguration der Verschlüsselung auf Feldebene in CloudFront können Sie vertrauliche Informationen in Ihre Webserver hochladen, die vom Benutzer übermittelt wurden. Die sensiblen Informationen, die Ihnen von Clients zur Verfügung gestellt werden, werden an dem Edge-Standort verschlüsselt, der näher am Benutzer ist. Die Verschlüsselung bleibt für den gesamten Anwendungs-Stack erhalten. Auf diese Weise wird sichergestellt, dass nur Anwendungen, die die Daten benötigen (und über die Anmeldeinformationen zur Entschlüsselung verfügen) dazu in der Lage sind.

Weitere Informationen finden Sie unter Schutz vertraulicher Daten durch Verschlüsselung auf Feldebene.

Verschlüsselung im Ruhezustand

CloudFront verwendet SSDs, die für Edge-Standort-POPs (Points of Presence) verschlüsselt sind, und verschlüsselte EBS-Volumes für regionale Edge-Zwischenspeicher (RECs, Regional Edge Caches).

Einschränken des Zugriffs auf Inhalte

Viele Unternehmen, die Inhalte über das Internet bereitstellen, möchten den Zugriff auf Dokumente, Geschäftsdaten, Medien-Streams oder Inhalte, die nur für ausgewählte Benutzer gedacht sind, beschränken. Für eine sichere Bereitstellung dieser Inhalte mit Amazon CloudFront können Sie eine oder mehrere der folgenden Maßnahmen durchführen.

Verwenden signierter URLs oder Cookies

Sie können den Zugriff auf Inhalte auf ausgewählte Benutzer (z. B. Benutzer, die eine Gebühr bezahlt haben) beschränken, indem Sie signierte URLs oder Cookies verwenden, wenn Sie diese privaten Inhalte mit CloudFront bereitstellen. Weitere Informationen finden Sie unter Bereitstellen privater Inhalte mit signierten URLs und signierten Cookies.

Beschränken des Zugriffs auf Inhalte in Amazon S3-Buckets

Wenn Sie den Zugriff auf Ihre Inhalte beispielsweise mithilfe von CloudFront-signierten URLs oder signierten Cookies beschränken, möchten Sie auch nicht, dass Personen über die direkte URL der Datei auf Dateien zugreifen können. Stattdessen möchten Sie, dass der Zugriff auf die Dateien nur über die CloudFront-URL möglich ist, sodass Ihre Schutzmechanismen funktionieren.

Wenn Sie einen Amazon S3-Bucket als Ursprung für eine CloudFront-Verteilung verwenden, können Sie eine Ursprungszugriffsidentität (OAI, Origin Access Identity) einrichten, um den Direktzugriff auf Ihre Inhalte zu verwalten. Eine Ursprungszugriffsidentität ist eine spezielle CloudFront-Benutzeridentität, die Sie mit Ihrer Verteilung verknüpfen können, sodass Sie alle oder nur einige Ihrer Amazon S3-Inhalte schützen können. Weitere Informationen darüber, wie Sie diese Funktion konfigurieren, finden Sie unter Beschränken des Zugriffs auf Amazon S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

Verwenden von AWS WAF-Web-ACLs

Sie können AWS WAF, einen Webanwendungsfirewall-Service, nutzen, um eine Web-Zugriffskontrollliste zu erstellen, die den Zugriff auf Ihre Inhalte beschränkt. Basierend auf den von Ihnen angegebenen Bedingungen wie zum Beispiel den IP-Adressen, von denen die Anforderungen stammen, oder den Werten von Abfragezeichenfolgen, reagiert CloudFront auf Anforderungen entweder mit den angeforderten Inhalten oder mit einem HTTP-Statuscode 403 (Forbidden). Weitere Informationen finden Sie unter Verwenden von AWS WAF zum Steuern des Zugriffs auf Ihre Inhalte.

Verwenden von geografische Einschränkungen

Mithilfe einer geografischen Einschränkung oder Geoblockierung können Sie verhindern, dass Benutzer aus bestimmten geografischen Regionen auf Inhalte zugreifen, die Sie über eine CloudFront-Verteilung bereitstellen. Beim Konfigurieren geografischer Einschränkungen können Sie aus verschiedenen Optionen wählen. Weitere Informationen finden Sie unter Einschränken der geografischen Verteilung von Inhalt.