Publicado: Dec 14, 2017
A partir de hoje, você pode usar um novo recurso do Amazon CloudFront chamado Criptografia no nível do arquivo. Esse recurso melhora ainda mais a segurança dos dados confidenciais, como números de cartões de crédito, ou PII (informações de identificação pessoal), como números de seguro social. A criptografia no nível do arquivo do CloudFront criptografa ainda mais os dados confidenciais em um formato HTTPS usando as chaves de criptografia específicas do campo (que você fornece) antes de encaminhar uma solicitação de POST para sua origem. Isso garante que os dados confidenciais possam ser descriptografados e exibidos somente por certos componentes e serviços em sua pilha de aplicativos.
Muitos aplicativos web coletam dados confidenciais de usuários. Esses dados são então processados pelos serviços de aplicativos em execução na infraestrutura de origem. Todos esses aplicativos web usam a criptografia SSL/TLS entre o usuário final e o CloudFront, e entre o CloudFront e sua origem. Sua origem pode ter vários microsserviços que executam operações essenciais baseadas na entrada do usuário. Por exemplo, um site de comércio eletrônico pode obter o número do cartão de crédito e o endereço de envio do comprador para processar um pedido. Esse pedido pode ser processado por um microsserviço de pagamento, bem como por um serviço de atendimento de pedidos na camada de aplicativos. O serviço de atendimento de pedidos não precisa ter acesso aos números do cartão de crédito. Com a criptografia no nível do arquivo, os pontos de presença do CloudFront podem criptografar os dados do cartão de crédito. A partir desse ponto, somente os aplicativos que têm chaves privadas podem descriptografar os campos confidenciais. Portanto, o serviço de atendimento de pedidos pode visualizar somente números do cartão de crédito criptografados, mas os serviços de pagamento podem descriptografar os dados do cartão de crédito. Isso garante um nível mais alto de segurança, pois mesmo que um dos serviços de aplicativos vaze texto codificado, os dados permanecerão protegidos criptograficamente.
A criptografia no nível do campo é fácil de configurar. Basta configurar os campos que precisam ser ainda mais criptografados pelo CloudFront usando as chaves públicas que você especificar, que a superfície de ataque aos dados confidenciais é reduzida. Isso facilita o cumprimento dos requisitos de conformidade com a segurança, como PCI DSS. A cobrança pela criptografia no nível do campo é baseada no número de solicitações que precisam de criptografia adicional; você paga 0,02 USD para cada 10.000 solicitações que o CloudFront criptografar usando a criptografia no nível do campo, além da taxa de solicitação padrão do HTTPS; consulte a página de definição de preço para obter mais detalhes.
Para saber mais sobre como a criptografia no nível do campo funciona, consulte nossa documentação. Para ajudar você a começar, escrevemos uma postagem no blog que inclui um aplicativo de amostra que foi implantado usando o modelo do CloudFormation, além de etapas explicativas detalhadas para configurar e testar a funcionalidade de criptografia no nível do campo.