Caratteristiche principali di Amazon CloudFront

Connettività di rete con throughput elevato, affidabile e a bassa latenza

Dorsale e connettività di rete

Amazon CloudFront crea una connessione con migliaia di operatori di telecomunicazioni di livello 1/2/3 in tutto il mondo, è ben collegato con tutte le principali reti di accesso per garantire prestazioni ottimali e dispone di centinaia di terabit di capacità implementata. Le posizioni edge CloudFront sono collegate senza problemi alle regioni AWS tramite la dorsale di rete AWS completamente ridondante. Questa spina dorsale è composta da più fibre parallele da 400 GbE in tutto il mondo e si interfaccia con decine di migliaia di reti per migliorare il recupero dell'origine e l'accelerazione dinamica dei contenuti.

Amazon CloudFront dispone di tre tipi di infrastruttura per fornire in modo sicuro contenuti ad alte prestazioni agli utenti finali:

• Le cache edge regionali (REC) di CloudFront sono situate all'interno delle regioni AWS, tra il server Web delle applicazioni e i point of presence (POP) CloudFront e i point of presence (POP) integrati. CloudFront ha 13 REC a livello globale.
• I punti di presenza CloudFront si trovano all'interno della rete AWS e sono collegati alle reti dei provider di servizi Internet (ISP). CloudFront ha oltre 600 POP in 100 città in più di 50 Paesi.
• I punti di presenza integrati in CloudFront si trovano all'interno delle reti dei provider di servizi Internet (ISP), più vicine agli utenti finali. Oltre ai POP CloudFront, ci sono oltre 600 POP integrati in oltre 200 città del Nord America, Europa e Asia.

Ulteriori informazioni su Amazon CloudFront in Cina. >>

Protezione da attacchi a livello di rete e applicazioni
Amazon CloudFront, AWS Shield, AWS Web Application Firewall (WAF) e Amazon Route 53 funzionano perfettamente insieme per creare un perimetro di sicurezza flessibile, multi-layer contro tipologie multiple di attacchi, tra cui gli attacchi DDoS a livello di rete e applicazioni. Tutti questi servizi risiedono insieme nell'edge AWS e forniscono un perimetro di sicurezza scalabile, affidabile e a elevate prestazioni per le applicazioni e i contenuti. Con CloudFront che funge da "porta di ingresso" per l'applicazione e l'infrastruttura, la superficie principale di attacco è lontana da contenuti, dati, codice e infrastruttura critici. Ulteriori informazioni sulle best practice AWS per la resilienza agli attacchi DDoS.

Crittografie SSL/TLS e HTTPS
Con Amazon CloudFront, è possibile distribuire contenuti, API e applicazioni su HTTPS usando la versione più recente di Transport Layer Security (TLS, versione 1.3) in modo da crittografare e proteggere le comunicazioni tra i client dei visualizzatori e CloudFront. Puoi utilizzare il servizio AWS Certificate Manager (ACM) per creare facilmente un certificato SSL personalizzato e associarlo gratuitamente a una distribuzione CloudFront. ACM gestisce automaticamente il rinnovo dei certificati, eliminando il carico operativo e i costi della procedura di rinnovo manuale. CloudFront fornisce inoltre svariate ottimizzazioni e caratteristiche avanzate TLS, quali connessioni HTTPS full/half bridge, OCSP Stapling, ticket di sessione, Perfect Forward Secrecy, applicazioni del protocollo TLS e crittografia a livello di campo.

Controllo degli accessi
Con Amazon CloudFront, puoi limitare l'accesso ai contenuti utilizzando diverse funzionalità. Con URL e cookie firmati puoi supportare l'autenticazione dei token per limitare l'accesso ai soli visualizzatori autenticati. Attraverso la restrizione geografica puoi impedire agli utenti che si trovano in aree geografiche specifiche di accedere ai contenuti distribuiti tramite CloudFront. Con la caratteristica Origin Access Identity (OAI, Identità di accesso origine) puoi limitare l'accesso a un bucket Amazon S3, rendendolo disponibile esclusivamente da CloudFront. Ulteriori informazioni.

Conformità
L'infrastruttura (esclusi i POP incorporati CloudFront) e i processi di CloudFront sono conformi agli standard PCI DSS livello 1, HIPAA e ISO 9001, ISO/IEC 27001:2013, 27017:2015, 27018:2019, SOC (1, 2 e 3), FedRAMP Moderate e molti altri, in modo da garantire una distribuzione sicura dei dati sensibili.

Origin Shield 
Le applicazioni Web devono spesso affrontare picchi di traffico durante i periodi di intensa attività. Grazie ad Amazon CloudFront, il volume delle richieste di origine delle applicazioni si riduce automaticamente. I contenuti sono archiviati nelle edge location e nelle cache regionali di CloudFront e recuperati dalle origini all'occorrenza. Puoi ridurre ulteriormente il carico sulle origini delle applicazioni utilizzando Origin Shield per consentire un livello di caching centralizzato. Origin Shield ottimizza il rapporto di hit cache e concentra le richieste tra le regioni, consentendo una richiesta di origine per oggetto. Il traffico ridotto sulle origini consente di aumentare la disponibilità delle applicazioni.

Abilitazione della ridondanza per le origini
CloudFront supporta diverse origini per la ridondanza dell'architettura back-end. La funzionalità di failover di origine nativa di CloudFront consente di distribuire automaticamente i contenuti da un'origine di backup nel caso in cui l'origine principale non sia disponibile. Le origini configurate con failover di origine possono essere costituite da una qualsiasi combinazione di origini AWS, quali istanze EC2, bucket Amazon S3 o servizi multimediali, oppure di origini non AWS, come un server HTTP locale. Inoltre, puoi implementare le funzionalità di failover di origine avanzate con CloudFront e Lambda@Edge come illustrato qui.

Funzioni CloudFront

Amazon CloudFront offre funzionalità di calcolo edge CDN programmabili e sicure tramite CloudFront Functions e AWS Lambda@Edge. CloudFront Functions è la soluzione ideale per operazioni a scalabilità elevata e sensibili alla latenza, come manipolazioni delle intestazioni HTTP, riscritture/reindirizzamenti di URL e normalizzazioni della chiave di cache. Questi tipi di operazioni leggere di breve durata supporta il traffico spesso imprevedibile e con picchi. Ad esempio, puoi utilizzare CloudFront Functions per reindirizzare richieste a versioni specifiche della lingua del tuo sito in base all'intestazione Accept-Language della richiesta in entrata. Poiché queste funzioni vengono eseguite in tutte le posizioni edge di CloudFront, possono essere dimensionate istantaneamente a milioni di richieste al secondo con una latenza minima, di solito al di sotto di un millisecondo. È anche possibile utilizzare CloudFront KeyValueStore, un archivio dati globale a bassa latenza e con valori chiave per archiviare e recuperare i dati di ricerca dall'interno delle funzioni CloudFront. CloudFront KeyValueStore rende le funzioni CloudFront più personalizzabili consentendo aggiornamenti indipendenti dei dati. 

Lambda@Edge

AWS Lambda@Edge è una funzionalità di calcolo serverless per utilizzo generico che supporta un'ampia gamma di personalizzazioni ed esigenze di calcolo. Lambda@Edge è l'ideale per operazioni a elevata intensità di calcolo, come le elaborazioni che richiedono più tempo per il completamento (da diversi millisecondi a secondi) o chiamate di rete per l'elaborazione dei dati, oppure elaborazioni che presentano dipendenze su librerie esterne di terze parti o che necessitano di integrazioni con altri servizi AWS (ad esempio S3 o DynamoDB). Alcuni dei casi d'uso avanzati più comuni includono la manipolazione di file manifest per lo streaming HLS, le integrazioni con servizi di rilevamento di bot e autorizzazione di terze parti, il rendering lato server (SSR, Server-Side Rendering) di applicazioni a pagina singola (SPA, Single-Page Apps) a livello di edge e molto altro. Ulteriori informazioni. >>

Parametri in tempo reale
Amazon CloudFront è integrato ad Amazon CloudWatch e pubblica automaticamente sei parametri operativi per distribuzione, visibili in un set di grafici nella console di CloudFront. Inoltre, basta un semplice clic sulla console o usare l'API per usufruire dei parametri granulari.

Registrazione di log standard e in tempo reale
CloudFront fornisce due metodi per registrare le richieste consegnate dalle distribuzioni: i log standard e i log in tempo reale. I Log standard sono distribuiti sul bucket prescelto di Amazon S3 (i record di log sono distribuiti entro pochi minuti dalla richiesta del visualizzatore). Quando è attivo, CloudFront pubblica automaticamente informazioni di log dettagliate in un formato W3C esteso in un bucket Amazon S3 specificato. I Log in tempo reale di CloudFront sono distribuiti sul flusso di dati prescelto in Amazon Kinesis Data Streams (i record di log sono distribuiti entro pochi secondi dalla richiesta del visualizzatore). Puoi scegliere la frequenza di campionamento per i Log in tempo reale, ossia la percentuale di richieste per cui desideri ricevere log in tempo reale. Per maggiori informazioni sulle funzionalità di registrazione di log di CloudFront, fai clic qui.

Rapidi annullamenti e propagazione delle modifiche
CloudFront offre la possibilità di annullare e propagare rapidamente le modifiche in pochi minuti. In genere, sono necessari pochi minuti per propagare le modifiche all'edge e meno di due minuti per annullarle.

API complete e strumenti di DevOps
Amazon CloudFront offre agli sviluppatori un'API completa per creare, configurare e gestire le distribuzioni CloudFront. Gli sviluppatori hanno inoltre accesso a diversi strumenti, tra cui AWS CloudFormation, CodeDeploy, CodeCommit e SDK AWS, per configurare e distribuire i carichi di lavoro con Amazon CloudFront.

Comportamenti edge
La distribuzione di CloudFront può essere configurata con più comportamenti che regolano il modo in cui CloudFront elabora la richiesta e le caratteristiche a cui viene applicata. Personalizza i comportamenti di CloudFront, ad esempio: in che modo CloudFront memorizza nella cache e comunica con la tua origine, quali intestazioni e metadati sono inoltrati alla tua origine, in che modo crea varianti di contenuti con manipolazione cache-chiave flessibile, quali intestazioni sono aggiunte alle risposte HTTP e molto altro. Grazie al rilevamento incorporato dei dispositivi, CloudFront può rilevare il tipo di dispositivo (desktop, tablet, smart TV o dispositivo mobile) e inoltrare questa informazione sotto forma di nuove intestazioni HTTP all'applicazione per adattare con facilità le varianti di contenuti o altre risposte. Amazon CloudFront può inoltre rilevare la posizione a livello di paese dell'utente richiedente per un'ulteriore personalizzazione della risposta.

L'implementazione continua con CloudFront ti offre un livello di sicurezza elevato per l'implementazione. Ora puoi distribuire due ambienti distinti ma identici, uno blu e l'altro verde, e consentire una semplice integrazione nelle tue pipeline CI/CD (continuous integration/continuous delivery ) con la possibilità di distribuire gradualmente i rilasci senza modificare il sistema dei nomi di dominio (DNS). Garantisce che il tuo spettatore abbia un'esperienza coerente grazie alla persistenza della sessione, legando la sessione dello spettatore allo stesso ambiente. Inoltre, puoi confrontare le prestazioni delle tue modifiche monitorando i log standard e in tempo reale e tornare rapidamente alla configurazione precedente quando una modifica ha un impatto negativo su un servizio. I tipici casi d'uso di questa funzionalità includono la verifica della retrocompatibilità, la verifica post-implementazione e la convalida di nuove funzionalità con un gruppo ridotto di visualizzatori. Ulteriori informazioni >>

Opzioni di prezzo per ogni livello di utilizzo
CloudFront offre opzioni di prezzo personalizzate, incluso il pagamento in base al consumo, il servizio CloudFront Security Savings Bundle e prezzi personalizzati. Il pagamento in base al consumo è semplice e senza pagamenti anticipati. Se cerchi uno sconto, il servizio Security Savings Bundle di CloudFront ti consente di risparmiare fino al 30% delle spese di CloudFront a fronte di un impegno di spesa mensile per un periodo di 1 anno. Il pacchetto di risparmio include anche l'utilizzo gratuito di AWS WAF per il 10% della spesa mensile stabilita. Per i clienti che sono disposti ad assumersi un certo impegno di traffico minimo (in genere un minimo di 10 TB/mese), offriamo anche sconti aggiuntivi con tariffe personalizzate private.
Ulteriori informazioni sui prezzi di Amazon CloudFront.

Trasferimento dei dati gratuito tra servizi cloud AWS e Amazon CloudFront per il recupero dell'origine
Se vengono impiegate origini AWS, ad esempio Amazon S3, Amazon EC2 ed Elastic Load Balancing, non sono previsti costi per il trasferimento di dati dall'origine alle posizioni edge di CloudFront (questo tipo di trasferimento dati è noto come recupero dall'origine). Per ulteriori informazioni su tutte le caratteristiche di Amazon CloudFront e sulla relativa configurazione, consulta la guida per gli sviluppatori di Amazon CloudFront.

Riduzione dei costi operativi relativi all'origine
Non tutte le origini sono uguali e alcune potrebbero comportare processi come la creazione di pacchetti "just in time" aventi un costo per GB superiore dal punto di vista computazionale, rispetto al recupero di contenuti dall'archiviazione. CloudFront fornisce cache edge regionali senza costi aggiuntivi per ridurre il carico operativo sulle origini e i costi operativi. Se utilizzi Origin Shield per minimizzare il numero di recuperi dall'origine, potrai ridurre ulteriormente i costi relativi all'origine. Origin Shield offre una caching centralizzata per ottimizzare il rapporto hit cache e concentra le richieste tra le regioni, consentendo una richiesta di origine per oggetto.

Ulteriori informazioni >>

Vedi tutti gli annunci di Amazon CloudFront >>