Inserito il: Dec 14, 2017
A partire da oggi, puoi usare la nuova funzionalità Amazon CloudFront, denominata crittografia a livello di campo, per potenziare ulteriormente la sicurezza dei dati sensibili, come numeri di carte di credito o informazioni che consentono l'identificazione personale dell'utente (PII) come il codice fiscale. La crittografia a livello di campo di CloudFront crittografa ulteriormente i dati sensibili in formato HTTPS mediante chiavi di crittografia specifiche del campo (fornite da te) prima che una richiesta POST venga inviata alla tua origine. Questo garantisce che i dati sensibili vengano decrittografati e visualizzati solo da determinati componenti o servizi del tuo stack applicativo.
Molte applicazioni Web raccolgono i dati sensibili dagli utenti, che vengono quindi elaborati dai servizi applicativi in esecuzione sull'infrastruttura di origine. Tutte queste applicazioni Web usano la crittografia SSL/TLS tra l'utente finale e CloudFront e tra CloudFront e la tua origine. La tua origine potrebbe avere più microservizi che eseguono operazioni critiche in base all'input dell'utente. Ad esempio, per elaborare un ordine un sito di e-commerce potrebbe raccogliere il numero di carta di credito dell'acquirente e l'indirizzo di spedizione. Questi ordini potrebbero essere elaborati da un microservizio di pagamento e da un servizio di adempimento degli ordini nel livello dell'applicazione. Il servizio di adempimento degli ordini non ha necessità di accedere ai numeri delle carte di credito. Con la crittografia a livello di campo, le edge location di CloudFront possono crittografare i dati delle carte di credito. Da quel punto in poi solo le applicazioni che hanno le chiavi private possono decrittografare i campi sensibili. Pertanto il servizio di adempimento degli ordini può solo visualizzare i numeri delle carte di credito, mentre i servizi di pagamento possono decrittografarli. Questo garantisce un livello di sicurezza più elevato dal momento che, se anche un solo servizio applicativo divulga testo crittografato, i dati rimangono protetti da crittografia.
La configurazione della crittografia a livello di campo è semplice. È sufficiente configurare i campi che devono essere ulteriormente crittografati da CloudFront mediante le chiavi pubbliche specificate per poter ridurre la superficie di attacco per i dati sensibili. Questo rende più semplice soddisfare la compliance ai requisiti di sicurezza, come PCI DSS. La crittografia a livello di campo viene addebitata in base al numero di richieste di crittografia aggiuntiva. Il costo è 0,02 dollari ogni 10.000 richieste di crittografia a livello di campo, che si aggiungono alla tariffa della richiesta HTTPS standard. Per maggiori dettagli, vedi la pagina dei prezzi.
Per ulteriori informazioni sul funzionamento della crittografia a livello di campo, consulta la documentazione. Per consentirti di iniziare a utilizzare questa funzionalità, abbiamo scritto un post di blog che include un'applicazione di esempio distribuita utilizzando il modello CloudFormation e procedure guidate dettagliate per la configurazione e il test della funzionalità di crittografia a livello di campo.