mTLS de espectador frente a mTLS de origen Funcionamiento Casos de uso Importante: requisitos del servidor de origen Introducción

TLS mutua (origen) con CloudFront

La autenticación TLS mutua (Autenticación de seguridad de la capa de transporte mutua: mTLS) es un protocolo de seguridad que amplía la autenticación TLS estándar al requerir una autenticación bidireccional basada en certificados, en la que tanto el cliente como el servidor deben demostrar su identidad antes de establecer una conexión segura.

mTLS de espectador frente a mTLS de origen

La autenticación mutua (mTLS) se puede habilitar entre los espectadores y la distribución de CloudFront (mTLS de espectador) o también entre la distribución de CloudFront y el origen (mTLS de origen). Esta documentación se refiere a la configuración de mTLS de origen. Para la configuración de mTLS del espectador consulte: Autenticación TLS mutua con CloudFront (mTLS de espectador).

TLS mutua (origen) permite a CloudFront autenticarse en los servidores de origen mediante certificados de cliente. Con TLS mutua (origen), puede asegurarse de que solo las distribuciones autorizadas de CloudFront puedan establecer conexiones con los servidores de aplicaciones, lo que ayuda a protegerse contra los intentos de acceso no autorizados.

nota

En las conexiones TLS (origen) mutuas, CloudFront actúa como cliente y presenta su certificado de cliente al servidor de origen durante el establecimiento de comunicación de TLS. CloudFront no valida el certificado del cliente ni el estado de revocación, esto es responsabilidad del servidor de origen. La infraestructura de origen debe estar configurada para validar el certificado de cliente con respecto al almacén de confianza, comprobar la caducidad del certificado y realizar comprobaciones de revocación (como la validación de CRL u OCSP) de acuerdo con los requisitos de seguridad. El rol de CloudFront se limita a presentar el certificado; los servidores de origen aplican toda la lógica de validación de certificados y las políticas de seguridad.

Funcionamiento

En un establecimiento de comunicación de TLS estándar entre CloudFront y un origen, solo el servidor de origen presenta un certificado que demuestre su identidad a CloudFront. Con TLS mutua (origen), el proceso de autenticación pasa a ser bidireccional. Cuando CloudFront intenta conectarse al servidor de origen, CloudFront presenta un certificado de cliente durante el establecimiento de comunicación de TLS. El servidor de origen valida este certificado con su almacén de confianza antes de establecer la conexión segura.

Casos de uso

TLS mutua (origen) aborda varios escenarios de seguridad críticos en los que los métodos de autenticación tradicionales crean una sobrecarga operativa:

Seguridad híbrida y multinube: puede proteger las conexiones entre CloudFront y los orígenes alojados fuera de AWS o los orígenes públicos en AWS. Esto elimina la necesidad de administrar las listas de direcciones IP permitidas o las soluciones de encabezados personalizadas, lo que proporciona una autenticación coherente basada en certificados en AWS, los centros de datos en las instalaciones y proveedores de terceros. Las empresas de medios de comunicación, los minoristas y las empresas que operan infraestructuras distribuidas se benefician de los controles de seguridad estandarizados en toda su infraestructura.
API de B2B y seguridad de backend: puede proteger las API y microservicios de backend de los intentos de acceso directo y, al mismo tiempo, conservar los beneficios de rendimiento de CloudFront. Las plataformas SaaS, los sistemas de procesamiento de pagos y las aplicaciones empresariales con requisitos de autenticación estrictos pueden comprobar que las solicitudes de API se originan solo en distribuciones de CloudFront autorizadas, lo que evita los ataques de intermediarios y los intentos de acceso no autorizados.

Importante: requisitos del servidor de origen

TLS mutua (origen) requiere que los servidores de origen estén configurados para admitir la autenticación TLS mutua. Su infraestructura de origen debe ser capaz de:

Solicitar y validar los certificados de los clientes durante los establecimientos de comunicación de TLS.
Mantener un almacén de confianza con los certificados de la autoridad de certificación que emitió los certificados de cliente de CloudFront.
Registrar y supervisar los eventos de conexión TLS mutua.
Administrar las políticas de validación de certificados y gestionar los errores de autenticación.

CloudFront se encarga de la presentación de los certificados del cliente, pero los servidores de origen son responsables de validar estos certificados y administrar la conexión TLS mutua. Asegúrese de que la infraestructura de origen esté configurada correctamente antes de habilitar TLS mutua (origen) en CloudFront.

Introducción

Para implementar TLS mutua (origen) con CloudFront, tendrá que importar el certificado de cliente en AWS Certificate Manager, configurar el servidor de origen para que requiera TLS mutua y habilitar TLS mutua (origen) en la distribución de CloudFront. En las siguientes secciones, se proporcionan instrucciones paso a paso para cada tarea de configuración.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Observabilidad mediante registros de conexión

Administración de certificados con AWS Certificate Manager