아마존의 인프라 보안 CloudFront

CloudFront Amazon은 관리형 서비스로서 AWS 글로벌 네트워크 보안의 보호를 받습니다. AWS 보안 서비스와 AWS의 인프라 보호 방법에 대한 자세한 내용은 AWS 클라우드 보안을 참조하세요. 인프라 보안에 대한 모범 사례를 사용하여 AWS 환경을 설계하려면 보안 원칙 AWS Well‐Architected Framework의 인프라 보호를 참조하세요.

AWS게시된 API 호출을 사용하여 네트워크를 CloudFront 통해 액세스합니다. 고객은 다음을 지원해야 합니다.

• 전송 계층 보안(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.

• DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 주체와 관련된 보안 액세스 키를 사용하여 서명해야 합니다. 또는 AWS Security Token Service(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

CloudFront Functions는 AWS 계정 간에 매우 안전한 격리 장벽을 사용하여 Spectre 및 Meltdown과 같은 부채널 공격으로부터 고객 환경을 안전하게 보호합니다. 함수는 다른 고객에게 속한 데이터에 액세스하거나 이를 수정할 수 없습니다. 함수는 하이퍼스레딩 없이 전용 CPU에서 전용 단일 스레드 프로세스에서 실행됩니다. 특정 CloudFront 엣지 로케이션 접속 지점 (POP) 에서 Functions는 한 번에 한 명의 고객에게만 서비스를 제공하며 CloudFront 함수 실행 사이에 모든 고객별 데이터가 삭제됩니다.