TLS reciproco (origine) con CloudFront - Amazon CloudFront
Viewer MTLs e Origin MTLsCome funzionaCasi d’usoImportante: requisiti del server OriginNozioni di base

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

TLS reciproco (origine) con CloudFront

L'autenticazione TLS reciproca (Mutual Transport Layer Security Authentication — MTLS) è un protocollo di sicurezza che estende l'autenticazione TLS standard richiedendo l'autenticazione bidirezionale basata su certificati, in cui sia il client che il server devono dimostrare la propria identità prima di stabilire una connessione sicura.

Viewer MTLs e Origin MTLs

L'autenticazione reciproca (MTL) può essere abilitata tra i visualizzatori e la CloudFront distribuzione (Viewer MTL) and/or e tra la CloudFront distribuzione e l'origine (MTL di origine). Questa documentazione riguarda la configurazione degli MTL di origine. Per la configurazione degli MTL del visualizzatore, fare riferimento a:. Autenticazione TLS reciproca con CloudFront (Viewer mTLS)

Mutual TLS (origine) consente di CloudFront autenticarsi sui server di origine utilizzando certificati client. Con Mutual TLS (origin), potete assicurarvi che solo le vostre CloudFront distribuzioni autorizzate possano stabilire connessioni con i server delle applicazioni, proteggendovi dai tentativi di accesso non autorizzati.

Nota

Nelle connessioni TLS (origine) reciproche, CloudFront funge da client e presenta il relativo certificato client al server di origine durante l'handshake TLS. CloudFront non esegue la convalida della validità o dello stato di revoca del certificato client: questa è la responsabilità del server di origine. L'infrastruttura di origine deve essere configurata per convalidare il certificato client rispetto al relativo archivio di fiducia, verificare la scadenza del certificato ed eseguire controlli di revoca (come la convalida CRL o OCSP) in base ai requisiti di sicurezza. CloudFrontsi limita alla presentazione del certificato; tutta la logica di convalida dei certificati e le politiche di sicurezza vengono applicate dai server di origine.

Come funziona

In un handshake TLS standard tra CloudFront e un'origine, solo il server di origine presenta un certificato a cui dimostrare la propria identità. CloudFront Con il TLS reciproco (origine), il processo di autenticazione diventa bidirezionale. Quando CloudFront tenta di connettersi al server di origine, CloudFront presenta un certificato client durante l'handshake TLS. Il server di origine convalida questo certificato confrontandolo con il relativo archivio attendibile prima di stabilire la connessione sicura.

Casi d’uso

Mutual TLS (origin) affronta diversi scenari di sicurezza critici in cui i metodi di autenticazione tradizionali creano un sovraccarico operativo:

  • Sicurezza ibrida e multi-cloud: puoi proteggere le connessioni CloudFront e le origini ospitate all'esterno AWS o le origini pubbliche su. AWS Ciò elimina la necessità di gestire elenchi di indirizzi IP consentiti o soluzioni di intestazione personalizzate, fornendo un'autenticazione coerente basata sui certificati tra AWS i data center locali e i provider di terze parti. Le società di media, i rivenditori e le imprese che gestiscono un'infrastruttura distribuita traggono vantaggio dai controlli di sicurezza standardizzati sull'intera infrastruttura.

  • API B2B e sicurezza del backend: puoi proteggere il backend APIs e i microservizi dai tentativi di accesso diretto, mantenendo al contempo i vantaggi in termini di prestazioni. CloudFront Le piattaforme SaaS, i sistemi di elaborazione dei pagamenti e le applicazioni aziendali con requisiti di autenticazione rigorosi possono verificare che le richieste API provengano solo da CloudFront distribuzioni autorizzate, prevenendo man-in-the-middle attacchi e tentativi di accesso non autorizzati.

Importante: requisiti del server Origin

Mutual TLS (origine) richiede che i server di origine siano configurati per supportare l'autenticazione TLS reciproca. L'infrastruttura di origine deve essere in grado di:

  • Richiesta e convalida dei certificati client durante gli handshake TLS

  • Mantenimento di un archivio affidabile con i certificati dell'Autorità di Certificazione che ha emesso i certificati client CloudFront

  • Registrazione e monitoraggio degli eventi di connessione TLS reciproca

  • Gestione delle politiche di convalida dei certificati e gestione degli errori di autenticazione

CloudFront gestisce la presentazione dei certificati sul lato client, ma i server di origine sono responsabili della convalida di questi certificati e della gestione della connessione TLS reciproca. Assicurati che l'infrastruttura di origine sia configurata correttamente prima di abilitare il TLS reciproco (origine) in. CloudFront

Nozioni di base

Per implementare il TLS reciproco (origine) con CloudFront, dovrai importare il certificato client in Certificate Manager, configurare il server di origine in AWS modo che richieda il TLS reciproco e abilitare il TLS reciproco (origine) sulla tua distribuzione. CloudFront Le seguenti sezioni forniscono step-by-step istruzioni per ogni attività di configurazione.

Argomenti