Publié le: Dec 14, 2017
À compter d'aujourd'hui, vous pouvez utiliser une nouvelle fonctionnalité Amazon CloudFront appelée Field-Level Encryption (chiffrement au niveau du champ) pour renforcer la sécurité des données sensibles telles que les numéros de carte de crédit ou les informations personnelles identifiables comme les numéros de sécurité sociale. La fonctionnalité CloudFront de chiffrement au niveau du champ apporte un niveau supplémentaire de chiffrement des données sensibles dans un formulaire HTTPS à l'aide de clés de chiffrement définies par vous et spécifiques au champ, avant qu'une requête POST soit transmise à votre origine. Ainsi, les données sensibles ne peuvent être déchiffrées et consultées que par certains composants ou services de votre pile d'applications.
De nombreuses applications web collectent des données sensibles auprès des utilisateurs. Ces données sont ensuite traitées par les services applicatifs exécutés sur l'infrastructure d'origine. L'ensemble de ces applications web utilisent le chiffrement SSL/TLS entre l'utilisateur final et CloudFront, et entre CloudFront et votre origine. Votre origine peut disposer de différents micro-services qui exécutent des opérations critiques d'après les saisies utilisateur. Par exemple, pour traiter une commande, un site d'e-commerce peut collecter le numéro de carte de crédit d'un acheteur ainsi que son adresse de livraison. Les commandes peuvent être traitées par un micro-service de paiement ainsi que par un service de traitement des commandes au niveau de la couche applicative. Le service de traitement des commandes n'a pas besoin d'accéder aux numéros de carte de crédit. Avec le chiffrement au niveau du champ, les emplacements périphériques de CloudFront peuvent chiffrer les données des cartes de crédit. À partir de là, seules les applications qui détiennent les clés privées peuvent déchiffrer les champs sensibles. Le service de traitement des commandes a donc uniquement accès aux numéros de carte de crédit chiffrés. Les services de paiement, quant à eux, peuvent déchiffrer les données des cartes de crédit. Vous bénéficiez ainsi d'un niveau supérieur de sécurité : même en cas de fuite de texte chiffré par un des services applicatifs, les données restent protégées par chiffrement.
Le chiffrement au niveau du champ est facile à configurer. Il suffit de configurer les champs qui doivent faire l'objet d'un niveau supplémentaire de chiffrement par CloudFront à l'aide des clés publiques que vous spécifiez, pour réduire la surface d'attaque de vos données sensibles. Vous pouvez ainsi plus facilement vous conformer aux exigences de sécurité telles que PCI DSS. Le chiffrement au niveau du champ est facturé en fonction du nombre de requêtes nécessitant ce chiffrement supplémentaire. Vous payez 0,02 $ toutes les 10 000 requêtes chiffrées par CloudFront à l'aide du chiffrement au niveau du champ, en plus des frais standard relatifs aux requêtes HTTPS. Pour en savoir plus, reportez-vous à la page de tarification.
Pour en savoir plus sur le fonctionnement du chiffrement au niveau du champ, consultez notre documentation. Pour vous aider à démarrer avec cette fonctionnalité, nous avons rédigé un billet de blog qui inclut un exemple d'application déployée à l'aide d'un modèle CloudFormation et une procédure détaillée de configuration et de test de la fonction de chiffrement au niveau du champ.