Protection des données dans Amazon CloudFront - Amazon CloudFront
Chiffrement en transitChiffrement au reposRestreindre l'accès au contenu

Protection des données dans Amazon CloudFront

Le modèle de responsabilité partagée AWS s'applique à la protection des données dans Amazon CloudFront. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure globale sur laquelle l'ensemble de AWS Cloud s'exécute. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécurité AWS.

À des fins de protection des données, nous vous recommandons de protéger les informations d’identification Compte AWS et de configurer les comptes utilisateur individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez les certificats SSL/TLS pour communiquer avec les ressources AWS. Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez une API (Interface de programmation) et la journalisation des activités des utilisateurs avec AWS CloudTrail. Pour plus d’informations sur l’utilisation des sentiers CloudTrail pour capturer des activités AWS, consultez la section Utilisation des sentiers CloudTrail dans le Guide de l’utilisateur AWS CloudTrail.

  • Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules de chiffrement validés FIPS (Federal Information Processing Standard) 140-3 lorsque vous accédez à AWS via une interface de ligne de commande ou une API (interface de programmation), utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez Norme FIPS (Federal Information Processing Standard) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela est également vrai lorsque vous utilisez CloudFront ou d'autres Services AWS avec la console, l'API, l'AWS CLI, ou les kits SDK AWS. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Amazon CloudFront fournit plusieurs options pour sécuriser le contenu fourni :

  • Configurer les connexions HTTPS.

  • Configurez le chiffrement au niveau du champ pour fournir une sécurité supplémentaire pour des données spécifiques pendant le transit.

  • Restreindre l'accès au contenu de manière à ce que seules des personnes spécifiques ou des personnes dans une zone spécifique puissent l'afficher.

Les rubriques suivantes expliquent les options plus en détail.

Chiffrement en transit

Pour chiffrer vos données en transit, vous configurez Amazon CloudFront de manière à exiger que les visionneuses utilisent HTTPS pour demander vos fichiers, afin que les connexions soient chiffrées lorsque CloudFront communique avec les visionneuses. Vous pouvez également configurer CloudFront de manière à utiliser HTTPS pour obtenir les fichiers à partir de votre origine, afin que les connexions soient chiffrées lorsque CloudFront communique avec elle.

Pour de plus amples informations, veuillez consulter Utilisation du protocole HTTPS avec CloudFront.

Le chiffrement au niveau du champ ajoute une couche de sécurité avec HTTPS, qui vous permet de protéger des données spécifiques tout au long du traitement du système, pour que seules certaines applications puissent les voir. En configurant le chiffrement au niveau du champ dans CloudFront, vous pouvez charger de manière sécurisée les informations sensibles soumises par l'utilisateur sur vos serveurs web. Les informations sensibles fournies par vos clients sont chiffrées en périphérie plus près de l'utilisateur. Elles restent chiffrées sur l'ensemble de la pile applicative, garantissant ainsi que seules les applications nécessitant les données (et disposant des informations d'identification pour les déchiffrer) puissent y accéder.

Pour de plus amples informations, veuillez consulter Utilisation du chiffrement au niveau du champ pour faciliter la protection des données sensibles.

Les points de terminaison de l'API CloudFront, cloudfront.amazonaws.com et cloudfront-fips.amazonaws.com, acceptent uniquement le trafic HTTPS. Cela signifie que, lorsque vous envoyez et recevez des informations à l'aide de l'API CloudFront, vos données sont toujours chiffrées en transit, notamment les configurations de distributions, les stratégies de cache et les stratégies de demandes d'origine, les groupes de clés et les clés publiques, et le code de fonction dans CloudFront Functions. En outre, toutes les demandes envoyées aux points de terminaison de l'API CloudFront sont signées avec des informations d'identification AWS et journalisées dans AWS CloudTrail.

Le code de fonction et la configuration dans CloudFront Functions sont toujours chiffrés en transit lorsqu'ils sont copiés vers les points de présence (POP) de l'emplacement périphérique et entre d'autres emplacements de stockage utilisés par CloudFront.

Chiffrement au repos

Le code de fonction et la configuration dans CloudFront Functions sont toujours stockés dans un format chiffré sur les POP de l'emplacement périphérique et dans d'autres emplacements de stockage utilisés par CloudFront.

Restreindre l'accès au contenu

De nombreuses entreprises qui distribuent du contenu via Internet veulent limiter l'accès aux documents, données professionnelles, flux multimédias ou contenus destinés à un sous-ensemble d'utilisateurs. Pour offrir ce contenu en toute sécurité à l'aide d'Amazon CloudFront, vous pouvez effectuer une ou plusieurs des actions suivantes :

Utiliser des cookies ou des URL signés

Vous pouvez restreindre l'accès aux contenus destinés à des utilisateurs spécifiques (par exemple, aux utilisateurs qui ont payé un droit) en diffusant ce contenu privé via CloudFront à l'aide d’URL signées ou de cookies signés. Pour de plus amples informations, veuillez consulter Offre de contenu privé avec des URL et des cookies signés.

Restriction de l'accès au contenu dans les compartiments Amazon S3

Si vous restreignez l'accès à votre contenu avec, par exemple, des URL signées ou des cookies signés CloudFront, vous devez également vous assurer que les utilisateurs ne puissent pas consulter les fichiers via l'URL directe qui leur est associée. Pour que la protection fonctionne, ils doivent accéder aux fichiers uniquement à l'aide de l'URL CloudFront.

Si vous utilisez un compartiment Amazon S3 comme origine pour une distribution CloudFront, vous pouvez configurer un contrôle d'accès à l'origine (OAC) pour limiter l'accès au compartiment S3. Pour de plus amples informations, consultez Restriction de l’accès à une origine Amazon S3.

Restreindre l'accès au contenu diffusé par un Application Load Balancer

Lorsque vous utilisez CloudFront avec un Application Load Balancer dans Elastic Load Balancing comme origine, vous pouvez configurer CloudFront pour empêcher les utilisateurs d'accéder directement à l'Application Load Balancer. Cela permet aux utilisateurs d'accéder à l'Application Load Balancer uniquement via CloudFront et garantit donc que vous bénéficiez des avantages de l'utilisation de CloudFront. Pour de plus amples informations, veuillez consulter Restriction de l’accès aux Application Load Balancers.

Utiliser des listes ACL web AWS WAF

Vous pouvez utiliser AWS WAF, un service de pare-feu d'application web, pour créer une liste de contrôle d'accès web (liste ACL web) afin de restreindre l'accès à votre contenu. Selon les conditions que vous spécifiez, comme les adresses IP d'où proviennent les requêtes ou les valeurs des chaînes de requête, CloudFront répond aux requêtes avec le contenu demandé ou avec un code d'état HTTP 403 (Interdit). Pour de plus amples informations, veuillez consulter Utilisation de protections AWS WAF.

Utiliser une restriction géographique

Vous pouvez utiliser une restriction géographique, également appelée blocage géographique, pour empêcher les utilisateurs situés à des emplacements géographiques spécifiques d'accéder au contenu que vous desservez via une distribution CloudFront. Il existe plusieurs options au choix lorsque vous configurez des restrictions géographiques. Pour de plus amples informations, veuillez consulter Restriction de la distribution géographique de votre contenu.