Proteção de dados no Amazon CloudFront - Amazon CloudFront
Criptografia em trânsitoCriptografia em repousoRestringir o acesso ao conteúdo

Proteção de dados no Amazon CloudFront

O modelo de responsabilidade compartilhada da AWS se aplica à proteção de dados no Amazon CloudFront. Conforme descrito nesse modelo, AWS é responsável por proteger a infraestrutura global que executa todas as Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as Perguntas Frequentes sobre Privacidade de Dados.. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and GDPR no Blog de segurança da AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Configure a API e atividade do usuário logando com AWS CloudTrail. Para obter mais informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte Working with CloudTrail trails no Guia do Usuário do AWS CloudTrail.

  • Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3.

É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso inclui o trabalho com o CloudFront ou outros Serviços da AWS que usem o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

O Amazon CloudFront oferece várias opções que você pode usar para ajudar a proteger o conteúdo que fornece:

  • Configure conexões HTTPS.

  • Configure a criptografia em nível de campo para fornecer segurança adicional para dados específicos durante o trânsito.

  • Restrinja o acesso ao conteúdo para que apenas determinadas pessoas, ou aquelas de uma área específica, possam visualizá-lo.

Os tópicos a seguir detalham mais as opções.

Criptografia em trânsito

Para criptografar os dados durante o trânsito, configure o Amazon CloudFront para exigir que os visualizadores usem HTTPS para solicitar seus arquivos, a fim de que as conexões sejam criptografadas quando o CloudFront se comunicar com os visualizadores. Também é possível configurar o CloudFront para usar HTTPS e obter arquivos da origem, a fim de que as conexões sejam criptografadas quando o CloudFront se comunicar com os usuários.

Para obter mais informações, consulte Usar HTTPS com o CloudFront.

A criptografia no nível de campo acrescenta uma camada adicional de segurança juntamente com o HTTPS, o que permite a você proteger dados específicos em todo o processamento do sistema, de modo que apenas alguns aplicativos possam vê-los. Ao configurar a criptografia em nível de campo no CloudFront, você pode fazer upload com segurança das informações confidenciais enviadas pelo usuário aos seus servidores Web. As informações confidenciais fornecidas pelos seus clientes são criptografadas no ponto mais próximo ao usuário. Elas permanecem criptografadas em toda a pilha de aplicações, garantindo que apenas as aplicações que precisam dos dados e possuem as credenciais para descriptografá-los, poderão fazê-lo.

Para obter mais informações, consulte Use criptografia de nível de campo para ajudar a proteger dados confidenciais.

Os endpoints da API do CloudFront cloudfront.amazonaws.com e cloudfront-fips.amazonaws.com só aceitam tráfego HTTPS. Isso significa que, quando você envia e recebe informações usando a API do CloudFront, seus dados, incluindo configurações de distribuição, políticas de cache e políticas de solicitação de origem, grupos de chaves e chaves públicas e código de função no CloudFront Functions, são sempre criptografados em trânsito. Além disso, todas as solicitações enviadas para os endpoints da API do CloudFront são assinadas com credenciais da AWS e conectadas no AWS CloudTrail.

O código de função e a configuração no CloudFront Functions são sempre criptografados em trânsito quando copiados para os pontos de presença (POPs) do local da borda e entre outros locais de armazenamento usados pelo CloudFront.

Criptografia em repouso

O código de função e a configuração no CloudFront Functions sempre são armazenados em um formato criptografado nos PoPs do local da borda e em outros locais de armazenamento usados pelo CloudFront.

Restringir o acesso ao conteúdo

Várias empresas que distribuem conteúdo pela Internet querem restringir o acesso a documentos, dados de negócio, streams de mídia ou conteúdo destinado a um subgrupo de usuários. Para fornecer esse conteúdo com segurança usando o Amazon CloudFront, você pode:

Usar cookies ou URLs assinados

Restringir o acesso ao conteúdo que é destinado a usuários selecionados, por exemplo, aqueles que pagaram uma taxa, fornecendo esse conteúdo privado por meio do CloudFront usando URL ou cookies assinados. Para obter mais informações, consulte Veicular conteúdo privado com URLs e cookies assinados.

Restringir o acesso ao conteúdo em buckets do Amazon S3

Se você restringir o acesso ao conteúdo usando, por exemplo, URLs assinados pelo CloudFront ou cookies assinados, também certamente não vai querer que as pessoas visualizem os arquivos usando o URL direto do arquivo. Em vez disso, é melhor que elas acessem os arquivos usando o URL do CloudFront, para que suas proteções funcionem.

Se você usar um bucket do Amazon S3 como a origem de uma distribuição do CloudFront, poderá configurar um controle de acesso à origem (OAC) que possibilita restringir o acesso ao bucket do S3. Para ter mais informações, consulte Restringir o acesso a uma origem do Amazon Simple Storage Service.

Restringir o acesso ao conteúdo fornecido por um Application Load Balancer

Ao usar o CloudFront com um Application Load Balancer no Elastic Load Balancing como origem, é possível configurar o CloudFront para evitar que os usuários acessem diretamente o Application Load Balancer. Assim os usuários podem acessar o Application Load Balancer somente por meio do CloudFront, assegurando que você obtenha os benefícios de usá-lo. Para obter mais informações, consulte Restringir o acesso aos Application Load Balancers.

Usar Web ACLs do AWS WAF

É possível usar o AWS WAF, um serviço de firewall de aplicativo web, para criar uma lista de controle de acesso à web (web ACL) e restringir o acesso ao seu conteúdo. Com base nas condições especificadas por você, como o endereço IP de origem da solicitação ou os valores das strings de consulta, o CloudFront responde às solicitações com o conteúdo solicitado ou com um código de status HTTP 403 (Proibido). Para obter mais informações, consulte Usar proteções do AWS WAF.

Usar a restrição geográfica

É possível usar a restrição geográfica, também conhecida como geobloqueio, para impedir que os usuários de algumas localizações específicas acessem o conteúdo que você fornece por meio da distribuição do CloudFront. Há várias opções para escolher na configuração de restrições geográficas. Para obter mais informações, consulte Restringir a distribuição geográfica do conteúdo.