Protezione dei dati in Amazon CloudFront

Il modello di responsabilità AWS condivisa di si applica alla protezione dei dati in Amazon CloudFront. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che esegue tutto l'Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. Inoltre, sei responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS che utilizzi. Per ulteriori informazioni sulla privacy dei dati, vedi Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog AWS Shared Responsibility Model and GDPR nel Blog sulla sicurezza AWS.

Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWS e di configurare singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

• Utilizza l'autenticazione a più fattori (MFA) con ogni account.

• Utilizza SSL/TLS per comunicare con le risorse AWS. È richiesto TLS 1.2 ed è consigliato TLS 1.3.

• Configura la registrazione di log sulle attività di API e utenti con AWS CloudTrail.

• Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza predefiniti in Servizi AWS.

• Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

• Se necessiti di moduli crittografici convalidati FIPS 140-2 quando accedi ad AWSattraverso un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-2.

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori CloudFront o Servizi AWS utilizzi la console, l'API o AWS gli SDK. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.

Amazon CloudFront offre diverse opzioni che puoi utilizzare per proteggere i contenuti che distribuisce:

• Configurazione connessioni HTTPS.

• Configurare la crittografia a livello di campo per fornire una protezione aggiuntiva per dati specifici durante il transito.

• Restrizione dell'accesso ai contenuti in modo che solo determinate persone o persone in un'area specifica siano in grado di visualizzarli.

I seguenti argomenti spiegano le opzioni nel dettaglio.

Crittografia in transito

Per crittografare i dati durante il transito, configuri Amazon in modo che richieda CloudFront agli utenti di utilizzare HTTPS per richiedere i tuoi file, in modo che le connessioni siano crittografate quando CloudFront comunicano con gli spettatori. Puoi anche configurare l'utilizzo CloudFront di HTTPS per recuperare i file dall'origine, in modo che le connessioni siano crittografate quando CloudFront comunicano con l'origine.

Per ulteriori informazioni, consulta Utilizzo di HTTPS con CloudFront.

La crittografia a livello di campo aggiunge un ulteriore livello di sicurezza che, insieme a HTTPS, ti consente di proteggere dati specifici durante l'elaborazione del sistema, di modo che solo alcune applicazioni possano vederli. Configurando la crittografia a livello di campo in CloudFront, puoi caricare in modo sicuro le informazioni sensibili inviate dall'utente sui tuoi server web. Le informazioni sensibili fornite dai tuoi client sono crittografate nella edge location più vicina all'utente e rimangono tali durante l'intero stack di applicazioni. In questo modo, possono essere decrittate solo dalle applicazioni che hanno bisogno di quei dati e che dispongono delle credenziali per farlo.

Per ulteriori informazioni, consulta Utilizzo della crittografia a livello di campo per proteggere dati sensibili.

Gli endpoint dell' CloudFront API cloudfront.amazonaws.com e cloudfront-fips.amazonaws.com accettano solo traffico HTTPS. Ciò significa che quando invii e ricevi informazioni utilizzando l' CloudFront API, i tuoi dati, incluse le configurazioni di distribuzione, le politiche di cache e le politiche di richiesta di origine, i gruppi di chiavi e le chiavi pubbliche e il codice CloudFront funzionale in Functions, vengono sempre crittografati in transito. Inoltre, tutte le richieste inviate agli endpoint dell' CloudFront API vengono firmate con credenziali e registrate. AWS AWS CloudTrail

Il codice e la configurazione della funzione in CloudFront Functions sono sempre crittografati in transito quando vengono copiati nei punti di presenza (POP) dell'edge location e tra altre posizioni di archiviazione utilizzate da. CloudFront

Crittografia a riposo

Il codice e la configurazione CloudFront delle funzioni in Functions vengono sempre archiviati in un formato crittografato nei POP delle edge location e in altre posizioni di archiviazione utilizzate da. CloudFront

Limitazione dell'accesso ai contenuti

Molte aziende che distribuiscono contenuti tramite Internet vogliono limitare l'accesso a documenti, dati aziendali, flussi multimediali o contenuti destinati a un subset di utenti. Per distribuire questi contenuti in modo sicuro utilizzando Amazon CloudFront, puoi eseguire una o più delle seguenti operazioni:

Usa URL o cookie firmati

Puoi limitare l'accesso ai contenuti destinati a utenti selezionati, ad esempio utenti che hanno pagato una tariffa, pubblicando questi contenuti privati tramite CloudFront URL firmati o cookie firmati. Per ulteriori informazioni, consulta Esecuzione di contenuti privati con URL firmati e cookie firmati.

Limitare l'accesso ai contenuti nei bucket Amazon S3

Se limiti l'accesso ai tuoi contenuti utilizzando, ad esempio, URL CloudFront firmati o cookie firmati, non vuoi nemmeno che le persone visualizzino i file utilizzando l'URL diretto del file. Invece, vuoi che accedano ai file solo utilizzando l'URL CloudFront , in modo che le protezioni funzionino.

Se utilizzi un bucket Amazon S3 come origine per una CloudFront distribuzione, puoi configurare un controllo di accesso all'origine (OAC) che consente di limitare l'accesso al bucket S3. Per ulteriori informazioni, consulta Limitazione dell'accesso a un'origine Amazon S3.

Limitare l'accesso al contenuto gestito da un Application Load Balancer

Quando utilizzi CloudFront un Application Load Balancer in Elastic Load Balancing come origine, puoi CloudFront configurare per impedire agli utenti di accedere direttamente all'Application Load Balancer. Ciò consente agli utenti di accedere all'Application Load Balancer solo tramite CloudFront, assicurandoti di ottenere i vantaggi dell'utilizzo. CloudFront Per ulteriori informazioni, consulta Limitazione dell'accesso ai servizi di Application Load Balancer.

Usa ACL Web AWS WAF

Puoi utilizzare AWS WAF, un servizio firewall per applicazioni Web, per creare una lista di controllo accessi Web (ACL) per restringere l'accesso ai contenuti. In base a condizioni specificate, come gli indirizzi IP da cui provengono le richieste o i valori delle stringhe di query, CloudFront risponde alle richieste con il contenuto richiesto o con un codice di stato HTTP 403 (Proibito). Per ulteriori informazioni, consulta Utilizzo delle protezioni AWS WAF.

Usa restrizione geografica

Puoi utilizzare la restrizione geografica, nota anche come geoblocking, per impedire agli utenti in specifiche aree geografiche di accedere ai contenuti distribuiti tramite una distribuzione CloudFront. Puoi scegliere tra varie opzioni quando configuri restrizioni geografiche. Per ulteriori informazioni, consulta Limitazione della distribuzione geografica del contenuto.