Proteção de dados no Amazon CloudFront - Amazon CloudFront

Proteção de dados no Amazon CloudFront

O modelo de responsabilidade compartilhada da AWS se aplica à proteção de dados no Amazon CloudFront. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos serviços da AWS que você usa. Para obter mais informações sobre a privacidade de dados, consulte as Perguntas frequentes sobre privacidade de dados. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Modelo de Responsabilidade Compartilhada e GDPR no AWSBlog de segurança da .

Para fins de proteção de dados, recomendamos que você proteja as credenciais da conta da Conta da AWS e configure as contas de usuário individuais com o AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com os recursos da AWS. Recomendamos TLS 1.2 ou posterior.

  • Configure o registro em log das atividades da API e do usuário com o AWS CloudTrail.

  • Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nos serviços da AWS.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para obter mais informações sobre endpoints do FIPS, consulte a Publicação 140-2 do FIPS (Federal Information Processing Standard) .

É altamente recomendável que você nunca coloque informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Name (Nome). Isso inclui quando você trabalha com o CloudFront ou outros serviços da AWS que usam o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em marcações ou campos de formato livre usados para nomes podem ser usados para logs de cobrança ou diagnóstico. Se você fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

O Amazon CloudFront oferece várias opções que você pode usar para ajudar a proteger o conteúdo que fornece:

  • Configure conexões HTTPS.

  • Configure a criptografia em nível de campo para fornecer segurança adicional para dados específicos durante o trânsito.

  • Restrinja o acesso ao conteúdo para que apenas determinadas pessoas, ou aquelas de uma área específica, possam visualizá-lo.

Os tópicos a seguir detalham mais as opções.

Criptografia em trânsito

Para criptografar os dados durante o trânsito, configure o Amazon CloudFront para exigir que os visualizadores usem HTTPS para solicitar seus arquivos, a fim de que as conexões sejam criptografadas quando o CloudFront se comunicar com os visualizadores. Também é possível configurar o CloudFront para usar HTTPS e obter arquivos da origem, a fim de que as conexões sejam criptografadas quando o CloudFront se comunicar com os usuários.

Para obter mais informações, consulte Usar HTTPS com o CloudFront.

A criptografia no nível de campo acrescenta uma camada adicional de segurança juntamente com o HTTPS, o que permite a você proteger dados específicos em todo o processamento do sistema, de modo que apenas alguns aplicativos possam vê-los. Ao configurar a criptografia em nível de campo no CloudFront, você pode fazer upload com segurança das informações confidenciais enviadas pelo usuário aos seus servidores Web. As informações confidenciais fornecidas pelos seus clientes são criptografadas no ponto mais próximo ao usuário. Elas permanecem criptografadas em toda a pilha de aplicações, garantindo que apenas as aplicações que precisam dos dados e possuem as credenciais para descriptografá-los, poderão fazê-lo.

Para obter mais informações, consulte Usar a criptografia no nível de campo para ajudar a proteger dados sigilosos.

Os endpoints da API do CloudFront cloudfront.amazonaws.com e cloudfront-fips.amazonaws.com só aceitam tráfego HTTPS. Isso significa que, quando você envia e recebe informações usando a API do CloudFront, seus dados, incluindo configurações de distribuição, políticas de cache e políticas de solicitação de origem, grupos de chaves e chaves públicas e código de função no CloudFront Functions, são sempre criptografados em trânsito. Além disso, todas as solicitações enviadas para os endpoints da API do CloudFront são assinadas com credenciais da AWS e conectadas no AWS CloudTrail.

O código de função e a configuração no CloudFront Functions são sempre criptografados em trânsito quando copiados para os pontos de presença (POPs) do local da borda e entre outros locais de armazenamento usados pelo CloudFront.

Criptografia em repouso

O CloudFront usa SSDs que são criptografados para pontos de presença (POPs) e volumes criptografados do EBS para caches de borda regionais (RECs).

O código de função e a configuração no CloudFront Functions sempre são armazenados em um formato criptografado nos SSDs criptografados nos POPs do local da borda e em outros locais de armazenamento usados pelo CloudFront.

Restringir o acesso ao conteúdo

Várias empresas que distribuem conteúdo pela Internet querem restringir o acesso a documentos, dados de negócio, streams de mídia ou conteúdo destinado a um subgrupo de usuários. Para fornecer esse conteúdo com segurança usando o Amazon CloudFront, você pode:

Usar cookies ou URLs assinados

Restringir o acesso ao conteúdo que é destinado a usuários selecionados, por exemplo, aqueles que pagaram uma taxa, fornecendo esse conteúdo privado por meio do CloudFront usando URL ou cookies assinados. Para obter mais informações, consulte Veicular conteúdo privado com signed URLs e cookies.

Restringir o acesso ao conteúdo em buckets do Amazon S3

Se você restringir o acesso ao seu conteúdo usando, por exemplo, URLs assinados pelo CloudFront ou cookies assinados, também não vai querer que as pessoas visualizem os arquivos usando o URL direto do arquivo. Em vez disso, é melhor que elas acessem os arquivos usando o URL do CloudFront, para que suas proteções funcionem.

Se você usar um bucket do Amazon S3 como a origem de uma distribuição do CloudFront, poderá configurar uma identidade de acesso de origem (OAI) para gerenciar o acesso direto ao seu conteúdo. Uma identidade de acesso de origem é uma identidade especial de usuário do CloudFront que você pode associar à sua distribuição para proteger todo ou parte do conteúdo do Amazon S3. Para obter mais informações sobre como fazer essa configuração, consulte Restringir acesso ao conteúdo do Amazon S3 usando uma identidade do acesso de origem (OAI).

Restringir o acesso ao conteúdo fornecido por um Application Load Balancer

Ao usar o CloudFront com um Application Load Balancer no Elastic Load Balancing como origem, é possível configurar o CloudFront para evitar que os usuários acessem diretamente o Application Load Balancer. Assim os usuários podem acessar o Application Load Balancer somente por meio do CloudFront, assegurando que você obtenha os benefícios de usá-lo. Para obter mais informações, consulte Restringir o acesso aos Application Load Balancers.

Usar Web ACLs do AWS WAF

É possível usar o AWS WAF, um serviço de firewall de aplicativo web, para criar uma lista de controle de acesso à web (web ACL) e restringir o acesso ao seu conteúdo. Com base nas condições especificadas por você, como o endereço IP de origem da solicitação ou os valores das strings de consulta, o CloudFront responde às solicitações com o conteúdo solicitado ou com um código de status HTTP 403 (Proibido). Para obter mais informações, consulte Como usar o AWS WAF para controlar o acesso a seu conteúdo.

Usar a restrição geográfica

É possível usar a restrição geográfica, também conhecida como geobloqueio, para impedir que os usuários de algumas localizações específicas acessem o conteúdo que você fornece por meio da distribuição do CloudFront. Há várias opções para escolher na configuração de restrições geográficas. Para obter mais informações, consulte Restringir a distribuição geográfica de seu conteúdo.