Veröffentlicht am: Dec 14, 2017
Ab heute können Sie eine neue Amazon CloudFront -Funktion namens Verschlüsselung auf Feldebene nutzen, um die Sicherheit sensibler Daten wie Kreditkartennummern oder personenbezogene Daten wie Sozialversicherungsnummern weiter zu verbessern. Die Verschlüsselung auf Feldebene von CloudFront verschlüsselt zusätzlich sensible Daten in einem HTTPS-Formular mit feldspezifischen Verschlüsselungsschlüsseln (die Sie angeben), bevor eine POST-Anforderung an Ihren Ursprung weitergeleitet wird. Dadurch wird sichergestellt, dass vertrauliche Daten nur von bestimmten Komponenten oder Services in Ihrem Anwendungs-Stack entschlüsselt und angezeigt werden können.
Viele Webanwendungen sammeln vertrauliche Daten von Benutzern, die dann von Anwendungs-Services verarbeitet werden, die auf der Ursprungsinfrastruktur ausgeführt werden. Alle diese Webanwendungen verwenden SSL/TLS-Verschlüsselung zwischen dem Endbenutzer und CloudFront sowie zwischen CloudFront und Ihrem Ursprung. Ihr Ursprung könnte mehrere Mikro-Services haben, die auf der Basis von Benutzereingaben kritische Vorgänge ausführen. Zum Beispiel könnte eine E-Commerce-Website die Kreditkartennummer des Käufers sowie ihre Lieferadresse sammeln, um eine Bestellung zu bearbeiten. Diese Aufträge können sowohl von einem Zahlungs-Mikroservice als auch von einem Auftragsbearbeitungsservice in der Anwendungsebene verarbeitet werden. Der Auftragsbearbeitungsservice benötigt keinen Zugriff auf Kreditkartennummern. Mit der Verschlüsselung auf Feldebene können die Edge-Standorte von CloudFront die Kreditkartendaten verschlüsseln. Ab diesem Zeitpunkt können nur Anwendungen mit den privaten Schlüsseln die vertraulichen Felder entschlüsseln. Der Auftragsbearbeitungsservice kann also nur verschlüsselte Kreditkartennummern anzeigen, aber die ZahlungsServices können Kreditkartendaten entschlüsseln. Dies stellt ein höheres Sicherheitsniveau sicher, da die Daten auch dann kryptografisch geschützt bleiben, wenn einer der AnwendungsServices Chiffriertext ausgibt.
Die Verschlüsselung auf Feldebene ist einfach einzurichten. Konfigurieren Sie einfach die Felder, die von CloudFront mit den von Ihnen angegebenen öffentlichen Schlüsseln weiter verschlüsselt werden müssen, und Sie können die Angriffsfläche für Ihre vertraulichen Daten reduzieren. Dies erleichtert die Einhaltung von Sicherheitsanforderungen wie PCI DSS. Die Verschlüsselung auf der Feldebene wird basierend auf der Anzahl der Anfragen berechnet, die die zusätzliche Verschlüsselung benötigen. Sie zahlen 0,02 US-Dollar je 10.000 Anfragen, die CloudFront mit der Verschlüsselung auf Feldebene zusätzlich zur Standardgebühr für HTTPS-Anfragen verschlüsselt. Weitere Details finden Sie auf der Preisseite.
Weitere Informationen zur Funktionsweise der Verschlüsselung auf Feldebene finden Sie in unserer Dokumentation. Um Ihnen den Einstieg zu erleichtern, haben wir einen Blogpost verfasst, der eine Beispielanwendung enthält, die mit der CloudFormation-Vorlage bereitgestellt wird sowie ausführliche Schritte zum Einrichten und Testen der Verschlüsselungsfunktionen auf Feldebene.