Amazon CloudFront 的合規驗證
在多個 AWS合規計劃中,第三方稽核人員會評估 Amazon CloudFront 的安全與合規。這些包括 SOC、PCI、HIPAA 等。
如需特定合規計劃範圍內的 AWS 服務清單,請參閱合規計劃內的 AWS 服務
您可使用 AWS Artifact 下載第三方稽核報告。如需詳細資訊,請參閱在 AWS Artifact 中下載報告。
您使用 CloudFront 時的合規責任,取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。AWS 會提供以下資源協助您處理合規事宜:
-
安全與合規快速入門指南
– 這些部署指南討論在 AWS上部署以安全及合規為重心基準環境的架構考量和步驟。 -
AWS 的 HIPAA 安全與合規架構 – 本白皮書描述公司可如何運用 AWS來建立 HIPAA 合規的應用程式。
AWS HIPAA 合規計劃包含 CloudFront (不包括透過 CloudFront 嵌入式 POP 交付的內容) 作為符合 HIPAA 資格的服務。如果您與 AWS簽署了執行商業夥伴增補合約 (BAA),則可以使用 CloudFront (不包括透過 CloudFront 嵌入式 POP 交付的內容) 交付包含受保護醫療資訊 (PHI) 的內容。如需詳細資訊,請參閱 HIPAA 合規
。 -
AWS 合規資源
– 這組手冊和指南可能適用於您的產業和位置。 -
AWS Config – 此 AWS 服務可評定資源組態與內部實務、業界準則和法規的合規狀態。
-
AWS Security Hub CSPM – 此 AWS 服務使用安全控制項來評估資源組態和安全標準,以幫助您遵守各種合規性架構。如需有關使用 Security Hub 評估 CloudFront 資源的詳細資訊,請參閱《AWS Security Hub CSPM 使用者指南》中的 Amazon CloudFront 控制項。
CloudFront 合規最佳實務
本節可在您使用 Amazon CloudFront 提供內容時,提供最佳實務和建議。
如果您根據 AWS共同的責任模型
-
啟用 CloudFront 存取日誌。如需更多詳細資訊,請參閱 標準記錄 (存取日誌)。
-
擷取傳送到 CloudFront API 的請求。如需更多詳細資訊,請參閱 使用 AWS CloudTrail 以日誌記錄 Amazon CloudFront API 呼叫。
此外,請參閱以下有關 CloudFront 如何符合 PCI DSS 和 SOC 標準的詳細資訊。
支付卡產業資料安全標準 (PCI DSS)
CloudFront (不包括透過 CloudFront 嵌入式 POP 交付的內容) 支援處理、儲存、傳輸商家或服務供應商的信用卡資料,並且已驗證符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊,包括如何索取 AWS PCI 合規套裝服務的副本,請參閱 PCI DSS 第 1 級
為了安全性最佳實務,我們建議您不要在 CloudFront 節點快取中快取信用卡資訊。例如,您可以將原始伺服器設定為在包含信用卡資訊 (例如信用卡號碼的最後四碼及持卡人聯絡資訊) 的回應中包含 Cache-Control:no-cache="欄位名稱" 標題。
系統和組織控制 (SOC)
CloudFront (不包括透過 CloudFront 嵌入式 POP 交付的內容) 符合系統和組織控制 (SOC) 措施的規範,包括 SOC 1、SOC 2 和 SOC 3。SOC 報告是獨立的第三方檢驗報告,其中展現了 AWS 如何達成關鍵合規性控制與目標。這些稽核可確保執行恰當得宜的安全防禦措施與程序,以針對可能影響到客戶與公司資料安全性、機密性和可用性的風險,提供安全防護。這些第三方稽核的結果可在 AWS SOC 合規網站
