Publicado en: Dec 14, 2017
A partir de hoy, puede utilizar una nueva característica de Amazon CloudFront denominada cifrado en el nivel de campo para mejorar aún más la seguridad de los datos confidenciales, como números de tarjetas de crédito o datos personales como números de pasaporte. El cifrado en el nivel de campo de CloudFront cifra los datos confidenciales de un formulario HTTPS utilizando claves de cifrado específicas de campo (que deben proporcionarse) antes de que se reenvíe una solicitud POST al origen. Esto garantiza que los datos confidenciales solo los pueden descifrar y visualizar determinados componentes o servicios de la pila de aplicaciones.
Muchas aplicaciones web recopilan datos confidenciales de los usuarios que posteriormente son procesados por servicios de aplicaciones que se ejecutan en la infraestructura de origen. Todas estas aplicaciones web utilizan cifrado SSL/TLS entre el usuario final y CloudFront, así como entre CloudFront y el origen. Este origen puede tener varios microservicios que realizan operaciones críticas en función de la entrada del usuario. Por ejemplo, un sitio de comercio electrónico podría recopilar el número de la tarjeta de crédito del comprador, así como su dirección de envío, para procesar un pedido. Estos pedidos los puede procesar un microservicio de pago y un servicio de cumplimentación de pedidos en la capa de aplicación. El servicio de cumplimentación de pedidos no necesita tener acceso a los números de las tarjetas de crédito. Con el cifrado en el nivel de campo, las ubicaciones de borde de CloudFront pueden cifrar los datos de las tarjetas de crédito. A partir de entonces, solo las aplicaciones que tengan las claves privadas pueden descifrar los campos confidenciales. Por tanto, el servicio de cumplimentación de pedidos solo puede ver números de tarjetas de crédito cifrados, pero los servicios de pago pueden descifrar los datos de dichas tarjetas. Esto garantiza un nivel superior de seguridad, puesto que aunque uno de los servicios de aplicaciones filtre texto cifrado, los datos permanecen protegidos criptográficamente.
La configuración del cifrado en el nivel de campo es sencilla. Simplemente configure los campos que CloudFront debe cifrar utilizando las claves públicas especificadas y podrá reducir la superficie de ataque de los datos confidenciales. Esto facilita el cumplimiento de los requisitos de conformidad de seguridad, como PCI DSS. El cifrado en el nivel de campo se factura en función del número de solicitudes que necesitan este cifrado adicional; se pagan 0,02 USD por cada 10 000 solicitudes que CloudFront cifra mediante dicho cifrado, aparte de la cuota estándar correspondiente a las solicitudes HTTPS; consulte la página de precios para obtener más información.
Para obtener más información sobre el funcionamiento del cifrado en el nivel de campo, consulte la documentación. Para ayudarle a empezar, hemos publicado una entrada de blog que incluye una aplicación de ejemplo implementada utilizando la plantilla de CloudFormation, así como pasos detallados para configurar y probar la funcionalidad del cifrado en el nivel de campo.