Autenticación TLS mutua con CloudFront (mTLS de espectador)
La autenticación TLS mutua (Autenticación de seguridad de la capa de transporte mutua: mTLS) es un protocolo de seguridad que amplía la autenticación TLS estándar al requerir una autenticación bidireccional basada en certificados, en la que tanto el cliente como el servidor deben demostrar su identidad antes de establecer una conexión segura. Con TLS mutua, puede asegurarse de que solo los clientes que presenten certificados TLS de confianza accedan a las distribuciones de CloudFront.
Funcionamiento
En un establecimiento de comunicación de TLS estándar, solo el servidor presenta un certificado que demuestre su identidad al cliente. Con TLS mutua, el proceso de autenticación pasa a ser bidireccional. Cuando un cliente intenta conectarse a la distribución de CloudFront, CloudFront solicita un certificado de cliente durante el establecimiento de comunicación de TLS. El cliente debe presentar un certificado X.509 válido que CloudFront valida en el almacén de confianza configurado antes de establecer la conexión segura.
CloudFront realiza esta validación de certificados en ubicaciones periféricas de AWS, lo que reduce la complejidad de la autenticación de los servidores de origen y, al mismo tiempo, mantiene los beneficios de rendimiento global de CloudFront. Puede configurar mTLS en tres modos:
-
Modo obligatorio (predeterminado): CloudFront valida el certificado de cliente en un almacén de confianza. Si se produce un error en la validación o no se presenta ningún certificado, CloudFront deniega la conexión. Utilice el modo obligatorio cuando todos los clientes deban autenticarse con un certificado válido.
-
Modo opcional: CloudFront valida el certificado de cliente si se presenta uno, pero permite las conexiones sin certificado. Los metadatos del certificado están disponibles en las funciones de conexión y en los encabezados HTTP del origen para tomar decisiones de autorización. Use el modo opcional cuando admite clientes autenticados y no autenticados.
-
Modo de acceso directo: CloudFront no valida el certificado de cliente en un almacén de confianza. CloudFront solo valida que el cliente posea la clave privada correspondiente. Reenvía el certificado al origen como encabezados HTTP para que el origen lleve a cabo la validación. No se requiere ningún almacén de confianza y no se realiza ningún almacenamiento en caché. Utilice el modo de acceso directo cuando tenga implementaciones de mTLS existentes en el origen.
Casos de uso
La autenticación TLS mutua con CloudFront aborda varios escenarios de seguridad críticos en los que los métodos de autenticación tradicionales son insuficientes:
-
Autenticación de dispositivos con almacenamiento en caché de contenido: puede autenticar consolas de juegos, dispositivos de IoT o hardware corporativo antes de permitir el acceso a las actualizaciones de firmware, las descargas de juegos o los recursos internos. Cada dispositivo contiene un certificado único que demuestra su autenticidad y, al mismo tiempo, se beneficia de las capacidades de almacenamiento en caché de CloudFront.
-
Autenticación de API a API: puede proteger la comunicación de máquina a máquina entre socios comerciales, sistemas de pago o microservicios de confianza. La autenticación basada en certificados elimina la necesidad de compartir secretos o claves de API, al tiempo que proporciona una sólida verificación de identidad para el intercambio de datos automatizado.
Temas
