AWS的规模使我们有可能承担客户大型,复杂,耗资巨大,或耗时的项目。安全问题,特别是合规性,是常见的问题。建立和记录适当的控制机制,准备必需的文档,然后寻找最初的认证和定期的再认证需要花费时间和金钱,需要操作人员具备某些特定领域的专业知识和实践经验。
从一开始,我们就已经努力地去证明AWS符合各种各样的国家和国际标准,包括 HIPAA , PCI DSS Level 1 , ISO 9001 , ISO 27001 , SOC ( 1,2和3) , FedRAMP 和 DoD CSM (仅举这几个例子)。
大部分情况下,我们证明各个业务的合规性。在扩展业务范围的同时,我们同样地增加了达到并保持合规性所需做的工作。
CloudFront的PCI合规性
今天我很高兴地宣布,我们的 Amazon CloudFront 已经达到了PCI DSS Level 1的要求。正如你可能已经知道的,PCI DSS是任何一项存储,处理或传输信贷数据的业务所必需遵循的要求。
使用AWS实施和承载零售,电子商务,旅行预定和票务销售应用的客户可以利用这一优势,正如那些为应用提供应用内购特性的优势。如果在保持PCI DSS合规性作为这类应用的一部分的同时你还需要向你的客户分发静态或动态的内容,你现在可以使用CloudFront作为架构的一部分。
其他安全特性
除了遵循PCI DSS Level 1,作为安全模型的一部分,很多其他的CloudFront特性应该对你是很有价值的。这里是一些最新功能:
HTTP to HTTPS Redirect –你可以使用这一特性实施一条只针对HTTPS内容的纪律来控制对内容的访问。你可以限制CloudFront的个体分布,仅提供HTTPS内容,或者你可配置应用,使它们在收到HTTP内容请求时返回一个301重定向响应。
Signed URLs and Cookies –你可以创建一个特殊格式的“签署”URL,该URL包含一个策略语句。这个策略语句包含对签署URL的各种限制,例如时间间隔,规定URL的有效日期和时间范围,和/或可以访问特定内容的IP地址列表。
Advanced SSL Ciphers–CloudFront 支持最新的SSL加密技术,允许你指定可接受的最低协议版本。
OCSP Stapling –该特性通过允许CloudFront以更有效的方式验证相关联的SSL证书来加速CloudFront内容访问速度。在CloudFront收到很多指向同一域中HTTPS对象的请求时,这一特性的作用是很显著的。
Perfect Forward Secrecy –该特性为每一个SSL会话创建一个新的私钥。如果一个密钥被发现,该密钥将不能用于解码以前的或将来的会话。
其他新的合规性业务
与CloudFront一起, AWS CloudFormation , AWS Elastic Beanstalk ,和 AWS Key Management Service (KMS) 也已经达到了PCI DSS Level 1的要求。这使符合PCI要求的AWS业务数量达到了23个。
直到现在,你需要管理自己的加密和密钥管理机制以便符合PCI DSS的3.5和3.6部分的要求。既然KMS包含在我们的PCI报告中,你可以使用简单的控制台或基于模板的利用了KMS管理的密钥的配置来达到DSS中那些部分的要求。这将会使你免于做很多繁重的工作,也将会使你更轻松地在AWS中创建应用来管理用户的卡数据。
现在就用它吧
作为PCI合规性应用的一部分,使用CloudFront不会有额外的费用。你可以免费使用CloudFront作为AWS Free Tier(AWS免费层级)的一部分;大型的长期的应用(来自同一个AWS域的10TB或以上的数据)通常可以受益于CloudFront的Reserved Capacity(预留容量)计费机制。
原文链接: https://aws.amazon.com/cn/blogs/aws/pci-compliance-for-amazon-cloudfront/活动推荐:08月27日 AWS 云计算环境中的Microservices 架构
活动推荐: AWS架构师全面解读运维与架构 - 微服务&无缝迁移
( 翻译/吕冬梅 责编/王鑫贺 )
订阅“AWS中文技术社区”微信公众号,实时掌握AWS技术及产品消息!
AWS中文技术社区为广大开发者提供了一个Amazon Web Service技术交流平台 ,推送AWS最新资讯、技术视频、技术文档、精彩技术博文等相关精彩内容,更有AWS社区专家与您直接沟通交流!快加入AWS中文技术社区,更快更好的了解AWS云计算技术。