Seguridad de la infraestructura en Amazon CloudFront
Como se trata de un servicio administrado, Amazon CloudFront está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte Seguridad en la nube de AWS
Puede utilizar llamadas a la API publicadas de AWS para obtener acceso a CloudFront a través de la red. Los clientes deben admitir lo siguiente:
-
Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
-
Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM principal. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
CloudFront Functions utiliza una barrera de aislamiento muy segura entre cuentas AWS, lo que garantiza que los entornos de los clientes estén seguros frente a ataques de canal lateral como Spectre y Meltdown. Functions no puede acceder a los datos que pertenecen a otros clientes ni modificarlos. Functions se ejecuta en un proceso dedicado de un solo subproceso en una CPU específica sin Hyper-Threading. En cualquier punto de presencia (POP) de ubicación de borde de CloudFront determinado, CloudFront Functions solo presta servicios a un cliente a la vez y todos los datos específicos de dicho cliente se borran entre ejecuciones de funciones.
