Amazon CloudFront 的合規驗證 - Amazon CloudFront
CloudFront 合規最佳實務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon CloudFront 的合規驗證

在多個合規計畫中,第三方稽核人員會評估 Amazon CloudFront 的安全與 AWS 合規。這些包括 SOC、PCI、HIPAA 等。

如需特定合規計劃範圍內 AWS 的服務清單,請參閱AWS 合規計劃範圍內的服務。如需一般資訊,請參閱 AWS 合規計劃

您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱在 中下載報告 AWS Artifact

您使用 CloudFront 時的合規責任,取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。 AWS 會提供以下資源協助您處理合規事宜:

  • 安全與合規快速入門指南 – 這些部署指南討論架構考量,並提供在其中部署以安全與合規為重心的基準環境的步驟 AWS。

  • 上的 HIPAA 安全與合規架構 AWS – 此白皮書說明公司如何使用 AWS 來建立符合 HIPAA 規範的應用程式。

    HIPAA AWS 合規計畫包含 CloudFront (不包括透過 CloudFront Embedded POPs交付的內容) 作為符合 HIPAA 資格的服務。如果您具有已執行的商業夥伴增補合約 (BAA) AWS,您可以使用 CloudFront (不包括透過 CloudFront Embedded POPs交付內容) 來交付包含受保護醫療資訊 (PHI) 的內容。如需詳細資訊,請參閱 HIPAA 合規

  • AWS 合規資源 – 此工作手冊和指南集合可能適用於您的產業和位置。

  • AWS Config – AWS 此服務會評估資源組態符合內部實務、產業準則和法規的程度。

  • AWS Security Hub – AWS 此服務使用安全控制來評估資源組態和安全標準,以協助您遵守各種合規架構。如需有關使用 Security Hub 評估 CloudFront 資源的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Amazon CloudFront 控制項

CloudFront 合規最佳實務

本節可在您使用 Amazon CloudFront 提供內容時,提供最佳實務和建議。

如果您根據 AWS 共同的責任模型來執行 PCI 合規或 HIPAA 合規的工作負載,我們建議您記錄過去 365 天的 CloudFront 用量資料,以供將來稽核之用。若要記錄用量資料,您可以執行以下操作:

此外,請參閱以下有關 CloudFront 如何符合 PCI DSS 和 SOC 標準的詳細資訊。

支付卡產業資料安全標準 (PCI DSS)

CloudFront (不包括透過 CloudFront Embedded POPs交付的內容) 支援商家或服務供應商處理、儲存和傳輸信用卡資料,並已驗證為符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊,包括如何請求 AWS PCI 合規套件的副本,請參閱 PCI DSS 第 1 級

為了安全性最佳實務,我們建議您不要在 CloudFront 節點快取中快取信用卡資訊。例如,您可以將原始伺服器設定為在包含信用卡資訊 (例如信用卡號碼的最後四碼及持卡人聯絡資訊) 的回應中包含 Cache-Control:no-cache="欄位名稱" 標題。

系統和組織控制 (SOC)

CloudFront (不包括透過 CloudFront Embedded POPs交付的內容) 符合系統和組織控制 (SOC) 措施,包括 SOC 1、SOC 2 和 SOC 3。SOC 報告是獨立的第三方檢查報告,示範 如何 AWS 實現關鍵合規控制和目標。這些稽核可確保執行恰當得宜的安全防禦措施與程序,以針對可能影響到客戶與公司資料安全性、機密性和可用性的風險,提供安全防護。這些第三方稽核的結果可在 AWS SOC 合規網站上取得,您可以在其中檢視已發佈的報告,以取得支援 AWS 操作和合規之控制項的詳細資訊。