Mutual TLS (Herkunft) mit CloudFront - Amazon CloudFront
Viewer mTLS gegen Origin mTLSFunktionsweiseAnwendungsfälleWichtig: Origin Server-AnforderungenErste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mutual TLS (Herkunft) mit CloudFront

Mutual TLS Authentication (Mutual Transport Layer Security Authentication — mTLS) ist ein Sicherheitsprotokoll, das die standardmäßige TLS-Authentifizierung um eine bidirektionale zertifikatsbasierte Authentifizierung erweitert, bei der sowohl Client als auch Server ihre Identität nachweisen müssen, bevor eine sichere Verbindung hergestellt werden kann.

Viewer mTLS gegen Origin mTLS

Die gegenseitige Authentifizierung (mTLS) kann zwischen Zuschauern und Ihrer CloudFront Distribution (Viewer-MTLS) and/or sowie zwischen Ihrer CloudFront Distribution und der Herkunft (Ursprungs-MTLS) aktiviert werden. Diese Dokumentation bezieht sich auf die mTLS-Konfiguration von Origin. Informationen zur mTLS-Konfiguration des Viewers finden Sie unter:. Gegenseitige TLS-Authentifizierung mit CloudFront (Viewer mTLS)

Mutual TLS (Origin) ermöglicht es CloudFront , sich mithilfe von Client-Zertifikaten bei Ihren Ursprungsservern zu authentifizieren. Mit Mutual TLS (Origin) können Sie sicherstellen, dass nur Ihre autorisierten CloudFront Distributionen Verbindungen zu Ihren Anwendungsservern herstellen können, was zum Schutz vor unbefugten Zugriffsversuchen beiträgt.

Anmerkung

Bei gegenseitigen TLS-Verbindungen (Origin) CloudFront fungiert es als Client und legt während des TLS-Handshakes sein Client-Zertifikat Ihrem Ursprungsserver vor. CloudFront führt keine Überprüfung der Gültigkeit oder des Sperrstatus des Client-Zertifikats durch — dafür ist Ihr Ursprungsserver verantwortlich. Ihre Ausgangsinfrastruktur muss so konfiguriert sein, dass sie das Client-Zertifikat anhand seines Vertrauensspeichers validiert, den Ablauf des Zertifikats überprüft und Sperrprüfungen (wie CRL- oder OCSP-Validierung) gemäß Ihren Sicherheitsanforderungen durchführt. CloudFrontIhre Rolle beschränkt sich auf die Vorlage des Zertifikats. Die gesamte Logik und Sicherheitsrichtlinien für Zertifikate werden von Ihren Ursprungsservern durchgesetzt.

Funktionsweise

Bei einem standardmäßigen TLS-Handshake zwischen CloudFront und einem Ursprung legt nur der Ursprungsserver ein Zertifikat vor, um seine Identität nachzuweisen. CloudFront Mit Mutual TLS (Origin) wird der Authentifizierungsprozess bidirektional. Wenn CloudFront versucht wird, eine Verbindung zu Ihrem Ursprungsserver herzustellen, CloudFront legt während des TLS-Handshakes ein Client-Zertifikat vor. Ihr Ursprungsserver validiert dieses Zertifikat anhand seines Trust Stores, bevor er die sichere Verbindung herstellt.

Anwendungsfälle

Mutual TLS (Origin) eignet sich für mehrere kritische Sicherheitsszenarien, in denen herkömmliche Authentifizierungsmethoden zu einem Betriebsaufwand führen:

  • Hybrid- und Multi-Cloud-Sicherheit — Sie können Verbindungen zwischen CloudFront und außerhalb gehosteten Quellen AWS oder öffentlichen Quellen sichern. AWS Dadurch entfällt die Notwendigkeit, IP-Zulassungslisten oder benutzerdefinierte Header-Lösungen zu verwalten, wodurch eine konsistente zertifikatsbasierte Authentifizierung in allen lokalen Rechenzentren AWS und bei Drittanbietern gewährleistet wird. Medienunternehmen, Einzelhändler und Unternehmen, die verteilte Infrastrukturen betreiben, profitieren von standardisierten Sicherheitskontrollen für ihre gesamte Infrastruktur.

  • B2B-API und Backend-Sicherheit — Sie können Ihr Backend APIs und Ihre Microservices vor direkten Zugriffsversuchen schützen und gleichzeitig die Leistungsvorteile beibehalten CloudFront. SaaS-Plattformen, Zahlungsabwicklungssysteme und Unternehmensanwendungen mit strengen Authentifizierungsanforderungen können überprüfen, ob API-Anfragen nur von autorisierten CloudFront Distributionen stammen, wodurch man-in-the-middle Angriffe und unbefugte Zugriffsversuche verhindert werden.

Wichtig: Origin Server-Anforderungen

Mutual TLS (Origin) erfordert, dass Ihre Ursprungsserver so konfiguriert sind, dass sie die gegenseitige TLS-Authentifizierung unterstützen. Ihre Ausgangsinfrastruktur muss in der Lage sein:

  • Client-Zertifikate bei TLS-Handshakes anfordern und validieren

  • Pflege eines Vertrauensspeichers mit den Zertifikaten der Zertifizierungsstelle, die die Client-Zertifikate ausgestellt hat CloudFront

  • Protokollierung und Überwachung gegenseitiger TLS-Verbindungsereignisse

  • Verwaltung von Richtlinien zur Zertifikatsvalidierung und Behandlung von Authentifizierungsfehlern

CloudFront kümmert sich um die clientseitige Vorlage der Zertifikate, aber Ihre Ursprungsserver sind für die Validierung dieser Zertifikate und die Verwaltung der gegenseitigen TLS-Verbindung verantwortlich. Stellen Sie sicher, dass Ihre Ausgangsinfrastruktur ordnungsgemäß konfiguriert ist, bevor Sie Mutual TLS (Origin) aktivieren. CloudFront

Erste Schritte

Um Mutual TLS (Origin) mit zu implementieren CloudFront, müssen Sie das Client-Zertifikat in AWS Certificate Manager importieren, Ihren Ursprungsserver so konfigurieren, dass gegenseitiges TLS erforderlich ist, und Mutual TLS (Origin) auf Ihrer CloudFront Distribution aktivieren. Die folgenden Abschnitte enthalten step-by-step Anweisungen für jede Konfigurationsaufgabe.

Themen