Proteção de dados na Amazon CloudFront

O modelo de responsabilidade AWS compartilhada de se aplica à proteção de dados na Amazon CloudFront. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para ter mais informações sobre a privacidade de dados, consulte as Perguntas frequentes sobre privacidade de dados. Para ter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and GDPR no Blog de segurança da AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com o AWS IAM Identity Center ou o AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

• Use uma autenticação multifator (MFA) com cada conta.

• Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.

• Configure o registro em log das atividades da API e do usuário com o AWS CloudTrail.

• Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão dos Serviços da AWS.

• Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.

• Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para ter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2.

É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com CloudFront ou Serviços da AWS usa o console, a API ou AWS os SDKs. AWS CLI Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

CloudFront A Amazon oferece várias opções que você pode usar para ajudar a proteger o conteúdo que ela entrega:

• Configure conexões HTTPS.

• Configure a criptografia em nível de campo para fornecer segurança adicional para dados específicos durante o trânsito.

• Restrinja o acesso ao conteúdo para que apenas determinadas pessoas, ou aquelas de uma área específica, possam visualizá-lo.

Os tópicos a seguir detalham mais as opções.

Criptografia em trânsito

Para criptografar seus dados durante o trânsito, você configura CloudFront a Amazon para exigir que os espectadores usem HTTPS para solicitar seus arquivos, de forma que as conexões sejam criptografadas quando CloudFront se comunicarem com os espectadores. Você também pode configurar o CloudFront uso de HTTPS para obter arquivos de sua origem, para que as conexões sejam criptografadas ao CloudFront se comunicar com sua origem.

Para ter mais informações, consulte Usando HTTPS com CloudFront.

A criptografia no nível de campo acrescenta uma camada adicional de segurança juntamente com o HTTPS, o que permite a você proteger dados específicos em todo o processamento do sistema, de modo que apenas alguns aplicativos possam vê-los. Ao configurar a criptografia em nível de campo CloudFront, você pode carregar com segurança informações confidenciais enviadas pelo usuário para seus servidores da web. As informações confidenciais fornecidas pelos seus clientes são criptografadas no ponto mais próximo ao usuário. Elas permanecem criptografadas em toda a pilha de aplicações, garantindo que apenas as aplicações que precisam dos dados e possuem as credenciais para descriptografá-los, poderão fazê-lo.

Para ter mais informações, consulte Usar a criptografia no nível de campo para ajudar a proteger dados sigilosos.

Os endpoints CloudFront da API cloudfront.amazonaws.com ecloudfront-fips.amazonaws.com, só aceitam tráfego HTTPS. Isso significa que quando você envia e recebe informações usando a CloudFront API, seus dados, incluindo configurações de distribuição, políticas de cache e políticas de solicitação de origem, grupos de chaves e chaves públicas e código de função em Funções, são sempre criptografados em CloudFront trânsito. Além disso, todas as solicitações enviadas aos endpoints da CloudFront API são assinadas com AWS credenciais e logadas. AWS CloudTrail

O código e a configuração da função no CloudFront Functions são sempre criptografados em trânsito quando copiados para os pontos de presença (PoPs) da localização de borda e entre outros locais de armazenamento usados pelo. CloudFront

Criptografia inativa

O código e a configuração da função no CloudFront Functions são sempre armazenados em um formato criptografado nos POPs do ponto de borda e em outros locais de armazenamento usados pelo CloudFront.

Restringir o acesso ao conteúdo

Várias empresas que distribuem conteúdo pela Internet querem restringir o acesso a documentos, dados de negócio, streams de mídia ou conteúdo destinado a um subgrupo de usuários. Para veicular esse conteúdo com segurança usando a Amazon CloudFront, você pode fazer um ou mais dos seguintes procedimentos:

Usar cookies ou URLs assinados

Você pode restringir o acesso ao conteúdo destinado a usuários selecionados, por exemplo, usuários que pagaram uma taxa, veiculando esse conteúdo privado por meio do CloudFront uso de URLs assinados ou cookies assinados. Para ter mais informações, consulte Veicular conteúdo privado com signed URLs e cookies.

Restringir o acesso ao conteúdo em buckets do Amazon S3

Se você restringir o acesso ao seu conteúdo usando, por exemplo, URLs CloudFront assinados ou cookies assinados, você também não vai querer que as pessoas visualizem arquivos usando o URL direto do arquivo. Em vez disso, é melhor que elas acessem os arquivos usando o URL do CloudFront , para que suas proteções funcionem.

Se você usar um bucket do Amazon S3 como origem de uma CloudFront distribuição, poderá configurar um controle de acesso de origem (OAC) que possibilita restringir o acesso ao bucket do S3. Para ter mais informações, consulte Restringir o acesso ao conteúdo do Amazon S3.

Restringir o acesso ao conteúdo fornecido por um Application Load Balancer

Ao usar CloudFront com um Application Load Balancer no Elastic Load Balancing como origem, você pode CloudFront configurar para impedir que os usuários acessem diretamente o Application Load Balancer. Isso permite que os usuários acessem o Application Load Balancer somente por meio CloudFront dele, garantindo que você obtenha os benefícios do uso. CloudFront Para ter mais informações, consulte Restringir o acesso aos Application Load Balancers.

Usar Web ACLs do AWS WAF

É possível usar o AWS WAF, um serviço de firewall de aplicativo web, para criar uma lista de controle de acesso à web (web ACL) e restringir o acesso ao seu conteúdo. Com base nas condições que você especifica, como os endereços IP dos quais as solicitações se originam ou os valores das cadeias de caracteres de consulta, CloudFront responde às solicitações com o conteúdo solicitado ou com um código de status HTTP 403 (Proibido). Para ter mais informações, consulte Usar proteções do AWS WAF.

Usar a restrição geográfica

É possível usar a restrição geográfica, também conhecida como geobloqueio, para impedir que os usuários de algumas localizações acessem o conteúdo que você exibe por meio da distribuição do CloudFront. Há várias opções para escolher na configuração de restrições geográficas. Para obter mais informações, consulte Restringir a distribuição geográfica de seu conteúdo.