Sécurité de l'infrastructure dans Amazon CloudFront - Amazon CloudFront

Sécurité de l'infrastructure dans Amazon CloudFront

En tant que service géré, Amazon CloudFront est protégé par la sécurité du réseau mondial AWS. Pour plus d’informations sur les services de sécurité AWS et la manière dont AWS protège l’infrastructure, consultez la section Sécurité du cloud AWS. Pour concevoir votre environnement AWS en utilisant les meilleures pratiques en matière de sécurité de l’infrastructure, consultez la section Protection de l’infrastructure dans le Security Pillar AWS Well‐Architected Framework (Pilier de sécurité de l’infrastructure Well‐Architected Framework).

Vous pouvez utiliser les appels d’API publiés par AWS pour accéder à CloudFront via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

Les fonctions CloudFront utilisent une barrière d’isolation hautement sécurisée entre les comptes AWS, garantissant ainsi la protection des environnements clients contre les attaques par canaux latéraux telles que Spectre et Meltdown. Functions ne peut pas accéder aux données appartenant à d'autres clients ni les modifier. Functions s'exécute dans un processus monothread sur un processeur dédié sans hyper-threading. Dans tout point de présence (POP) d'emplacement périphérique CloudFront donné, CloudFront Functions ne sert qu'un seul client à la fois, et toutes les données spécifiques au client sont effacées entre les exécutions de fonctions.