发布于: Dec 14, 2017
从今天开始,您可以使用称为“字段级加密”的全新 Amazon CloudFront 功能,来进一步增强敏感数据 (如信用卡号码或社会保险号码之类的个人身份信息 (PII)) 的安全性。在将 POST 请求转发到您的源之前,CloudFront 的字段级加密使用特定于字段的加密密钥 (由您提供) 对 HTTPS 表单中的敏感数据进行进一步加密。这可确保敏感数据只能被应用程序堆栈中的某些组件或服务解密和查看。
许多 Web 应用程序会从用户那里收集敏感数据,然后交由在源基础设施上运行的应用程序服务处理。所有这些 Web 应用程序都在最终用户和 CloudFront 之间以及 CloudFront 和您的源之间使用 SSL/TLS 加密。您的源可能有多个微服务,它们根据用户输入执行关键操作。例如,电子商务网站可以收集购买者的信用卡号以及他们的送货地址来处理订单。这些订单可以通过支付微服务和应用程序层中的订单履行服务来处理。订单履行服务不需要访问信用卡号。使用字段级加密,CloudFront 的边缘站点可以对信用卡数据进行加密。从那时起,只有拥有私钥的应用程序才能解密敏感字段。因此,订单履行服务只能查看加密的信用卡号,但付款服务可以解密信用卡数据。这确保了更高的安全性,因为即使其中一个应用程序服务泄露了密文,数据仍然受到密码保护。
字段级加密易于设置。只需使用您指定的公钥配置 CloudFront 必须进一步加密的字段,您就可以减少针对敏感数据的攻击面。这样可以更容易地满足 PCI DSS 等安全法规遵从性要求。根据需要额外加密的请求数来对字段级加密进行计费;除了标准的 HTTPS 请求费之外,您还需为每一万个由 CloudFront 使用字段级加密所加密的请求支付 0.02 USD;请参阅定价页面了解更多信息。