Protección de datos en Amazon CloudFront
El modelo de responsabilidad compartida
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
-
Utilice la autenticación multifactor (MFA) en cada cuenta.
-
Utilice SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
-
Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulte Working with CloudTrail trails en la Guía del usuario de AWS CloudTrail.
-
Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
-
Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
-
Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-3
.
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye el momento en el que trabaje con CloudFront u otros Servicios de AWS a través de la consola, la API, la AWS CLI o los AWS SDK. Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
Amazon CloudFront ofrece varias opciones que puede utilizar para ayudar a proteger el contenido que ofrece:
-
Configure las conexiones HTTPS.
-
Configure el cifrado de nivel de campo para proporcionar mayor seguridad a datos específicos durante el tránsito.
-
Restrinja el acceso al contenido de manera que solo determinadas personas o personas de un área específica, puedan verlo.
En los siguientes temas, se explican las opciones con más detalle.
Cifrado en tránsito
Para cifrar los datos durante el transporte, configure Amazon CloudFront para solicitar que los lectores utilicen HTTPS para solicitar los archivos, de modo que las conexiones se cifren cuando CloudFront se comunique con los lectores. También puede configurar CloudFront para utilizar HTTPS para obtener archivos del origen, de modo que las conexiones se cifran cuando CloudFront se comunica con el origen.
Para obtener más información, consulte Uso de HTTPS con CloudFront.
El cifrado en el nivel de campo añade una capa de seguridad adicional que, junto con HTTPS, le permite proteger datos específicos durante su procesamiento en el sistema de forma que solo determinadas aplicaciones puedan verlos. Al configurar el cifrado en el nivel de campo en CloudFront, puede cargar de manera segura información confidencial enviada por el usuario a los servidores web. La información confidencial proporcionada por los clientes se cifra en el borde más cercano al usuario. Sigue cifrada en toda la pila de aplicaciones, lo que garantiza que solo las aplicaciones que necesitan los datos y disponen de las credenciales para descifrarlos, son capaces de hacerlo.
Para obtener más información, consulte Uso del cifrado en el nivel de campo para ayudar a proteger la información confidencial.
Los puntos de enlace de la API de CloudFront cloudfront.amazonaws.com y cloudfront-fips.amazonaws.com solo aceptan tráfico HTTPS. Esto significa que cuando envía y recibe información mediante la API de CloudFront, sus datos, incluidas las configuraciones de distribución, las políticas de caché y las de solicitud de origen, los grupos de claves y las claves públicas y el código de función en CloudFront Functions, siempre se cifran en tránsito. Además, todas las solicitudes enviadas a los puntos de enlace de la API de CloudFront se firman con credenciales de AWS y se registran en AWS CloudTrail.
El código de función y la configuración en CloudFront Functions siempre se cifran en tránsito cuando se copian en los puntos de presencia (POP) de la ubicación de borde y entre otras ubicaciones de almacenamiento que utiliza CloudFront.
Cifrado en reposo
El código de función y la configuración en CloudFront Functions siempre se almacenan en un formato cifrado en los POP de ubicación periférica y en otras ubicaciones de almacenamiento que utilizada CloudFront.
Restricción del acceso a contenido
Muchas empresas que distribuyen contenido a través de Internet desean restringir el acceso a documentos, información corporativa, transmisiones multimedia o contenido destinado a una selección de usuarios. Para ofrecer de forma segura este contenido mediante Amazon CloudFront, puede elegir una o varias de las opciones siguientes:
- Utilice URL o cookies firmadas
-
Puede restringir el acceso a contenido que está destinado a usuarios determinados, por ejemplo, que hayan pagado una tarifa, ofreciendo este contenido privado a través de CloudFront mediante URL firmadas o cookies firmadas. Para obtener más información, consulte Distribución de contenido privado con URL firmadas y cookies firmadas.
- Restringir el acceso al contenido en los buckets de Amazon S3
-
Si restringe el acceso al contenido utilizando, por ejemplo, URL o cookies firmadas de CloudFront, tampoco querrá que nadie consulte los archivos utilizando la URL directa para el archivo. En su lugar, deseará que solo puedan obtener acceso a los archivos utilizando la URL de CloudFront, para que las medidas de protección funcionen.
Si utiliza un bucket de Amazon S3 como origen para una distribución de CloudFront, puede configurar un control de acceso de origen (OAC) que permita restringir el acceso al bucket de S3. Para obtener más información, consulte Restricción del acceso a un origen de Amazon Simple Storage Service.
- Restringir el acceso al contenido proporcionado por un balanceador de carga de aplicaciones
-
Cuando utiliza CloudFront con un balanceador de carga de aplicaciones en Elastic Load Balancing como origen, puede configurar CloudFront para evitar que los usuarios accedan directamente al balanceador de carga de aplicaciones. Esto permite a los usuarios acceder al balanceador de carga de aplicaciones solo a través de CloudFront, lo que garantiza que obtenga los beneficios de utilizar CloudFront. Para obtener más información, consulte Restricción del acceso a Application Load Balancer.
- Utilice ACL de web de AWS WAF
-
Puede utilizar AWS WAF, un servicio de firewall de aplicación web, para crear una lista de control de acceso web (ACL de web) para restringir el acceso al contenido. En función de las condiciones que especifique, como las direcciones IP de las que provienen las solicitudes o los valores de las cadenas de consulta, CloudFront responde a las solicitudes con el contenido solicitado o con un código de estado HTTP 403 (Prohibido). Para obtener más información, consulte Uso de protecciones AWS WAF.
- Restricción geográfica
-
Puede usar geo restriction (restricción geográfica), también conocida como geo blocking (bloqueo geográfico), para evitar que usuarios de ubicaciones geográficas específicas obtengan acceso a contenido que ofrece a través de una distribución de CloudFront. Existen varias opciones entre las que elegir al configurar restricciones geográficas. Para obtener más información, consulte Restricción de la distribución geográfica de su contenido.
