Protezione dei dati in Amazon CloudFront

Il modello di responsabilità condivisa di AWS si applica alla protezione in Amazon CloudFront. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che esegue tutto l'Cloud AWS. L'utente è responsabile di mantenere il controllo sui contenuti ospitati su questa infrastruttura. Questi contenuti comprendono la configurazione della protezione e le attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWS e GDPR nel Blog sulla sicurezza AWS.

Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWS e di configurare i singoli utenti con AWS IAM Identity Center (successor to AWS Single Sign-On) o AWS Identity and Access Management (IAM). In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il suo lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

• Utilizza l'autenticazione a più fattori (MFA) con ogni account.

• Utilizza SSL/TLS per comunicare con le risorse AWS. È consigliabile TLS 1.2 o versioni successive.

• Configura la registrazione delle API e delle attività degli utenti con AWS CloudTrail.

• Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza di default all'interno dei Servizi AWS.

• Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

• Se si richiedono moduli crittografici convalidati FIPS 140-2 quando si accede ad AWS tramite una CLI o un'API, utilizzare un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-2.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio, gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio un campo Name (Nome). Ciò include quando si lavora con CloudFront o altri Servizi AWS tramite console, API, AWS CLI o SDK AWS. I dati inseriti nei tag o nei campi in formato libero utilizzati per i nomi possono essere utilizzati per i log di fatturazione o di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.

Amazon CloudFront offre diverse opzioni che puoi utilizzare per proteggere i contenuti forniti:

• Configurazione connessioni HTTPS.

• Configurare la crittografia a livello di campo per fornire una protezione aggiuntiva per dati specifici durante il transito.

• Restrizione dell'accesso ai contenuti in modo che solo determinate persone o persone in un'area specifica siano in grado di visualizzarli.

I seguenti argomenti spiegano le opzioni nel dettaglio.

Crittografia in transito

Per crittografare i dati durante il transito, configurare Amazon CloudFront per richiedere che i visualizzatori utilizzino HTTPS per richiedere i file, in modo che le connessioni siano crittografate quando CloudFront comunica con i visualizzatori. Inoltre, è possibile configurare CloudFront in modo da utilizzare una connessione HTTPS per estrarre i file dal server di origine. In questo modo, quando CloudFront comunica con il server di origine, le connessioni risultano crittografate.

Per ulteriori informazioni, consulta Utilizzo di HTTPS con CloudFront.

La crittografia a livello di campo aggiunge un ulteriore livello di sicurezza che, insieme a HTTPS, ti consente di proteggere dati specifici durante l'elaborazione del sistema, di modo che solo alcune applicazioni possano vederli. Configurando la crittografia a livello di campo in CloudFront, puoi caricare in modo sicuro le informazioni sensibili inviate dall'utente nel server Web. Le informazioni sensibili fornite dai tuoi client sono crittografate nella edge location più vicina all'utente e rimangono tali durante l'intero stack di applicazioni. In questo modo, possono essere decrittate solo dalle applicazioni che hanno bisogno di quei dati e che dispongono delle credenziali per farlo.

Per ulteriori informazioni, consulta Utilizzo della crittografia a livello di campo per proteggere dati sensibili.

Gli endpoint dell'API CloudFront cloudfront.amazonaws.com e cloudfront-fips.amazonaws.com accettano solo il traffico HTTPS. Ciò significa che quando invii e ricevi informazioni tramite l'API CloudFront, i tuoi dati, tra cui le configurazioni di distribuzione, le policy della cache e le policy di richiesta di origine, i gruppi di chiavi e chiavi pubbliche e il codice funzione nelle funzioni CloudFront, vengono sempre crittografati in transito. Inoltre, tutte le richieste inviate agli endpoint dell'API CloudFront vengono firmate con le credenziali AWS e con AWS CloudTrail collegati.

Il codice funzione e la configurazione in CloudFront Functions vengono sempre crittografati in transito quando copiati nei POP (Points of Presence) delle posizioni edge e tra altre posizioni di archiviazione utilizzate da CloudFront.

Crittografia dei dati inattivi

Il codice di funzione e la configurazione in CloudFront Functions sono sempre memorizzati in un formato crittografato sui POP di edge location e in altre posizioni di archiviazione utilizzate da CloudFront.

Limitazione dell'accesso ai contenuti

Molte aziende che distribuiscono contenuti tramite Internet vogliono limitare l'accesso a documenti, dati aziendali, flussi multimediali o contenuti destinati a un subset di utenti. Per distribuire in modo sicuro questi contenuti utilizzando Amazon CloudFront, puoi eseguire una o più delle operazioni seguenti:

Usa URL o cookie firmati

Puoi limitare l'accesso ai contenuti destinati a utenti selezionati, ad esempio utenti paganti, distribuendo questi contenuti privati tramite CloudFront utilizzando URL o cookie firmati. Per ulteriori informazioni, consulta Esecuzione di contenuti privati con URL firmati e cookie firmati.

Limitare l'accesso ai contenuti nei bucket Amazon S3

Limitando l'accesso ai contenuti tramite, ad esempio, URL o cookie firmati CloudFront, non vuoi che gli utenti visualizzino i file utilizzando l'URL diretto del file. Invece, vuoi che accedano ai file solo utilizzando l'URL CloudFront, in modo che le protezioni funzionino.

Se utilizzi un bucket Amazon S3 come origine di una distribuzione CloudFront, puoi impostare un controllo di accesso origine (OAC) per limitare l'accesso al bucket S3. Per ulteriori informazioni, consulta Limitazione dell'accesso a un'origine Amazon S3.

Limitare l'accesso al contenuto gestito da un Application Load Balancer

Quando si utilizza CloudFront con un Application Load Balancer in Elastic Load Balancing come origine, è possibile configurare CloudFront per impedire agli utenti di accedere direttamente all'Application Load Balancer. Ciò consente agli utenti di accedere all'Application Load Balancer solo tramite CloudFront, assicurando loro di ottenere i vantaggi derivanti dall'utilizzo di CloudFront. Per ulteriori informazioni, consulta Limitazione dell'accesso ai servizi di Application Load Balancers.

Usa ACL Web AWS WAF

Puoi utilizzare AWS WAF, un servizio firewall per applicazioni Web, per creare una lista di controllo accessi Web (ACL) per restringere l'accesso ai contenuti. A seconda delle condizioni specificate, ad esempio gli indirizzi IP da cui hanno origine le richieste o i valori delle stringhe di query, CloudFront risponde alle richieste con il contenuto richiesto o con un codice di stato HTTP 403 (Non consentito). Per ulteriori informazioni, consulta Utilizzo di AWS WAF per controllare l'accesso ai contenuti.

Usa restrizione geografica

Puoi utilizzare la restrizione geografica, nota anche come geoblocking, per impedire agli utenti in specifiche aree geografiche di accedere ai contenuti distribuiti tramite una distribuzione CloudFront. Puoi scegliere tra varie opzioni quando configuri restrizioni geografiche. Per ulteriori informazioni, consulta Limitazione della distribuzione geografica del contenuto.