本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 的合規驗證 CloudFront
第三方稽核員會在多個合規計劃中評估 Amazon CloudFront 的安全性和合 AWS 規性。這些包括 SOC、PCI、HIPAA 等。
如需特定合規方案範圍內的 AWS 服務清單,請參閱合規方案範圍內的AWS 服務
您可以使用下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱下載中的報告 AWS Artifact。
您在使用時的合規責任取決 CloudFront 於資料的敏感性、公司的合規目標以及適用的法律和法規。 AWS 提供下列資源以協助遵循法規:
-
安全性與合規性快速入門指南
— 這些部署指南討論架構考量,並提供在上部署以安全性和法規遵循為重點的基準環境的步驟。 AWS -
建構 HIPAA 安全性與合規性 AWS— 本白皮書說明公司如何使用建立符合 HIPAA 標準的應 AWS 用程式。
AWS HIPAA 合規計劃包括 CloudFront (不包括透過 CloudFront嵌入式 PoP 傳遞內容) 作為 HIPAA 合格服務。如果您與已執行的「商業夥伴增補合約」(BAA) AWS,您可以使用 CloudFront (不包括透過 CloudFront 嵌入式 POP 傳遞內容) 來傳遞含有受保護健康資訊 (PHI) 的內容。如需詳細資訊,請參閱 HIPAA 合規
。 -
AWS 法規遵循資源
— 此工作簿和指南集合可能適用於您的產業和所在地。 -
AWS Config— 此 AWS 服務評估您的資源配置是否符合內部實踐,行業準則和法規。
-
AWS Security Hub— 此 AWS 服務使用安全控制來評估資源配置和安全標準,以幫助您遵守各種合規性框架。如需有關使用 Security Hub 評估CloudFront 資源的詳細資訊,請參閱使用AWS Security Hub 者指南中的 Amazon CloudFront 控制項。
CloudFront 合規性最佳做法
當您使用 Amazon CloudFront 提供內容時,本節提供合規的最佳實務和建議。
如果您執行以AWS 共用責任模型
-
啟用 CloudFront 存取記錄。如需詳細資訊,請參閱 配置和使用標準日誌(訪問日誌)。
-
擷取傳送至 CloudFront API 的要求。如需詳細資訊,請參閱 使用記錄 Amazon CloudFront API 呼叫 AWS CloudTrail。
此外,有關如何符合 PCI DSS 和 SOC 標準 CloudFront 的詳細資訊,請參閱以下內容。
支付卡產業資料安全標準 (PCI DSS)
CloudFront (不包括透過 CloudFront Embedded PoP 傳遞的內容) 支援商家或服務供應商處理、儲存和傳輸信用卡資料,並已通過驗證符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊,包括如何要求 AWS PCI 符合性 Package 的副本,請參閱 PCI DSS 等級
我們建議您不要在 CloudFront Edge 快取中快取信用卡資訊,做為安全性最佳作法。例如,您可以將原始伺服器設定為在包含信用卡資訊 (例如信用卡號碼的最後四碼及持卡人聯絡資訊) 的回應中包含 Cache-Control:no-cache="欄位名稱" 標題。
系統和組織控制 (SOC)
CloudFront (不包括透過 CloudFront 嵌入式 PoP 傳遞的內容) 符合系統與組織控制 (SOC) 措施,包括 SOC 1、SOC 2 和 SOC 3。SOC 報告是獨立的第三方檢查報告,展示如何 AWS 實現關鍵合規性控制和目標。這些稽核可確保執行恰當得宜的安全防禦措施與程序,以針對可能影響到客戶與公司資料安全性、機密性和可用性的風險,提供安全防護。這些第三方稽核的結果可在 AWS SOC 合規性網站
