TLS mutuel (origine) avec CloudFront - Amazon CloudFront
MTL Viewer et MTL OriginComment ça marcheCas d’utilisationImportant : configuration requise pour le serveur OriginPrise en main

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

TLS mutuel (origine) avec CloudFront

L'authentification TLS mutuelle (Mutual Transport Layer Security Authentication — MTLS) est un protocole de sécurité qui étend l'authentification TLS standard en exigeant une authentification bidirectionnelle basée sur des certificats, dans laquelle le client et le serveur doivent prouver leur identité avant d'établir une connexion sécurisée.

MTL Viewer et MTL Origin

L'authentification mutuelle (MTL) peut être activée entre les spectateurs et votre CloudFront distribution (MTL des spectateurs), and/or ainsi qu'entre votre CloudFront distribution et l'origine (MTL d'origine). Cette documentation concerne la configuration des MTL d'origine. Pour la configuration MTL du viewer, reportez-vous à :Authentification TLS mutuelle avec CloudFront (Viewer MTLS).

Le protocole TLS mutuel (origine) permet de s' CloudFront authentifier auprès de vos serveurs d'origine à l'aide de certificats clients. Grâce au protocole TLS mutuel (origine), vous pouvez vous assurer que seules vos CloudFront distributions autorisées peuvent établir des connexions avec vos serveurs d'applications, ce qui contribue à la protection contre les tentatives d'accès non autorisées.

Note

Dans les connexions TLS mutuelles (origine), CloudFront agit en tant que client et présente son certificat client à votre serveur d'origine lors de la prise de contact TLS. CloudFront n'effectue pas de validation de la validité ou du statut de révocation du certificat client. Cela relève de la responsabilité de votre serveur d'origine. Votre infrastructure d'origine doit être configurée pour valider le certificat client par rapport à son magasin de confiance, vérifier l'expiration du certificat et effectuer des contrôles de révocation (tels que la validation CRL ou OCSP) conformément à vos exigences de sécurité. CloudFrontson rôle se limite à présenter le certificat ; toutes les logiques de validation des certificats et les politiques de sécurité sont appliquées par vos serveurs d'origine.

Comment ça marche

Lors d'une prise de contact TLS standard entre CloudFront et une origine, seul le serveur d'origine présente un certificat pour prouver son identité. CloudFront Avec le protocole TLS mutuel (origine), le processus d'authentification devient bidirectionnel. Lorsque vous CloudFront tentez de vous connecter à votre serveur d'origine, CloudFront présente un certificat client lors de la prise de contact TLS. Votre serveur d'origine valide ce certificat par rapport à son magasin de confiance avant d'établir la connexion sécurisée.

Cas d’utilisation

Le protocole TLS mutuel (origin) répond à plusieurs scénarios de sécurité critiques dans lesquels les méthodes d'authentification traditionnelles génèrent une surcharge opérationnelle :

  • Sécurité hybride et multicloud : vous pouvez sécuriser les connexions CloudFront et les origines hébergées à l'extérieur AWS ou les origines publiques sur AWS. Ainsi, il n'est plus nécessaire de gérer des listes d'adresses IP autorisées ou des solutions d'en-tête personnalisées, en fournissant une authentification cohérente AWS basée sur des certificats dans les centres de données locaux et les fournisseurs tiers. Les entreprises du secteur des médias, les détaillants et les entreprises exploitant une infrastructure distribuée bénéficient de contrôles de sécurité standardisés sur l'ensemble de leur infrastructure.

  • API B2B et sécurité du backend : vous pouvez protéger votre backend APIs et vos microservices contre les tentatives d'accès direct tout en préservant CloudFront les avantages en termes de performances. Les plateformes SaaS, les systèmes de traitement des paiements et les applications d'entreprise soumis à des exigences d'authentification strictes peuvent vérifier que les demandes d'API proviennent uniquement de CloudFront distributions autorisées, empêchant ainsi man-in-the-middle les attaques et les tentatives d'accès non autorisées.

Important : configuration requise pour le serveur Origin

Le protocole TLS mutuel (origine) nécessite que vos serveurs d'origine soient configurés pour prendre en charge l'authentification TLS mutuelle. Votre infrastructure d'origine doit être capable de :

  • Demande et validation de certificats clients lors des handshakes TLS

  • Gestion d'une banque de confiance avec les certificats de l'autorité de certification qui CloudFront a émis les certificats clients

  • Enregistrement et surveillance des événements de connexion TLS mutuels

  • Gestion des politiques de validation des certificats et gestion des échecs d'authentification

CloudFront gère la présentation des certificats côté client, mais vos serveurs d'origine sont responsables de la validation de ces certificats et de la gestion de la connexion TLS mutuelle. Assurez-vous que votre infrastructure d'origine est correctement configurée avant d'activer le protocole TLS mutuel (origine) dans CloudFront.

Prise en main

Pour implémenter le protocole TLS mutuel (origine) avec CloudFront, vous devez importer le certificat client dans AWS Certificate Manager, configurer votre serveur d'origine pour qu'il exige le protocole TLS mutuel et activer le protocole TLS mutuel (origine) sur votre distribution. CloudFront Les sections suivantes fournissent des step-by-step instructions pour chaque tâche de configuration.

Rubriques