張貼日期: Dec 14, 2017
今日起,您可使用 Amazon CloudFront 的新功能「欄位層級資料加密」,進一步提升您的機密資訊安全性,例如信用卡號或社會安全號碼等個人身分資訊 (PII)。CloudFront 欄位層級資料加密能在 POST 要求轉發到您的原始伺服器前,使用您提供的欄位加密金鑰,以 HTTPS 形式進一步加密資訊。這能確保機密資訊僅能經由您應用程式堆疊中的特定元件或服務,進行解密與查閱。
許多 web 應用程式會向使用者蒐集機密資訊,並經過原始基礎架構上執行的應用程式服務處理資訊。在最終使用者與 CloudFront,以及 CloudFront 與您的原始伺服器的連線間,這些 web 應用程式使用 SSL/TLS 加密。您的原始伺服器中可能有許多微型服務,可根據使用者輸入的內容執行重要操作。例如,電子商務網站會蒐集購物者的信用卡號與送貨地址,用以處理訂單,這些訂單會在應用程式層中,經付款微型服務與訂單履行服務處理。而訂單履行服務並不需要存取信用卡號。CloudFront 的節點在欄位層級資料加密功能下,可加密信用卡資料。在加密後,只有擁有私密金鑰的程式可解密機密欄位,也就是說,訂單履行服務僅能查閱經加密的信用卡號,但付款服務可解密信用卡資料。即使有應用程式服務洩漏了密碼文字,其資料仍處在加密保護狀態,達到更高的安全性。
欄位層級資料加密的設定很簡單,只要使用您指定的公開金鑰,設定要使用 CloudFront 加密的欄位,就能減少曝露的攻擊面,保護您的機密資料。此服務能幫助您輕鬆達到 PCI DSS 所規定的安全合規要求。欄位層級資料加密依據您所提出的加密要求量計費,每 10,000 筆 CloudFront 欄位層級加密要求收費 0.02 USD (包含標準 HTTPS 要求費);請參閱定價頁面了解詳細資訊。