mTLS de visualizador versus mTLS de origem Como funciona Casos de uso Importante: requisitos do servidor de origem Introdução

TLS mútua (origem) com o CloudFront

A autenticação TLS mútua (autenticação Transport Layer Security mútua ou mTLS) é um protocolo de segurança que estende a autenticação TLS padrão exigindo autenticação bidirecional baseada em certificado, em que tanto o cliente quanto o servidor devem provar sua identidade antes de estabelecer uma conexão segura.

mTLS de visualizador versus mTLS de origem

A autenticação mútua (mTLS) pode ser habilitada entre os visualizadores e a distribuição do CloudFront (mTLS de visualizador) e/ou também entre a distribuição do CloudFront e a origem (mTLS de origem). Esta documentação refere-se à configuração de mTLS de origem. Para ter informações sobre a configuração de mTLS de visualizador, consulte Autenticação TLS mútua com o CloudFront (mTLS de visualizador).

A TLS mútua (origem) permite que o CloudFront se autentique em seus servidores de origem usando certificados de cliente. Com a TLS mútua (origem), é possível garantir que somente as distribuições autorizadas do CloudFront estabeleçam conexões com os servidores de aplicações, o que ajuda a oferecer proteção contra tentativas de acesso não autorizado.

nota

Em conexões TLS mútuas (origem), o CloudFront atua como cliente e apresenta o respectivo certificado de cliente ao servidor de origem durante o handshake do TLS. O CloudFront não realiza a confirmação da validade ou do status de revogação do certificado do cliente. Isso é responsabilidade do servidor de origem. A infraestrutura de origem deve ser configurada para validar o certificado do cliente com relação ao armazenamento confiável, verificar a expiração do certificado e realizar verificações de revogação (como validação de CRL ou OCSP) de acordo com os requisitos de segurança. A função do CloudFront se limita à apresentação do certificado. Toda a lógica de validação de certificados e todas as políticas de segurança são aplicadas pelos servidores de origem.

Como funciona

Em um handshake do TLS padrão entre o CloudFront e a origem, somente o servidor de origem apresenta um certificado para provar sua identidade ao CloudFront. Com a TLS mútua (origem), o processo de autenticação é bidirecional. Quando o CloudFront tenta se conectar ao servidor de origem, ele apresenta um certificado de cliente durante o handshake do TLS. O servidor de origem valida esse certificado com relação ao armazenamento confiável antes de estabelecer a conexão segura.

Casos de uso

A TLS mútua (origem) atende a vários cenários críticos de segurança em que os métodos tradicionais de autenticação criam custos operacionais indiretos:

Segurança em ambiente híbrido e multinuvem: é possível proteger conexões entre o CloudFront e origens hospedadas fora da AWS ou origens públicas na AWS. Isso elimina a necessidade de gerenciar listas de permissões de IP ou soluções de cabeçalho personalizadas, oferecendo autenticação consistente baseada em certificados na AWS, em data centers on-premises e em provedores terceiros. Empresas de mídia, varejistas e empresas que operam infraestrutura distribuída se beneficiam de controles de segurança padronizados em toda a infraestrutura.
API B2B e segurança de backend: é possível proteger suas APIs e microsserviços de backend contra tentativas de acesso direto e, ao mesmo tempo, manter os benefícios de desempenho do CloudFront. Plataformas de SaaS, sistemas de processamento de pagamentos e aplicações empresarias com requisitos rígidos de autenticação podem verificar se as solicitações de API se originam somente de distribuições autorizadas do CloudFront, evitando ataques man-in-the-middle e tentativas de acesso não autorizado.

Importante: requisitos do servidor de origem

A TLS mútua (origem) exige que os servidores de origem sejam configurados para permitir autenticação TLS mútua. A infraestrutura de origem deve ser capaz de:

Solicitar e validar certificados de cliente durante handshakes do TLS.
Manter um armazenamento confiável com os certificados da autoridade de certificação que emitiu os certificados de cliente do CloudFront.
Registrar e monitorar eventos de conexão TLS mútua.
Gerenciar políticas de validação de certificados e lidar com falhas de autenticação.

O CloudFront gerencia a apresentação de certificados do lado do cliente, mas os servidores de origem são responsáveis por validar esses certificados e gerenciar a conexão TLS mútua. Para habilitar a TLS mútua (origem) no CloudFront, a infraestrutura de origem deve estar configurada corretamente.

Introdução

Para implementar a TLS mútua (origem) com o CloudFront, será necessário importar o certificado do cliente no AWS Certificate Manager, configurar o servidor de origem para exigir a TLS mútua e habilitar a TLS mútua (origem) na distribuição do CloudFront. As seções a seguir oferecem instruções detalhadas para cada tarefa de configuração.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Observabilidade por meio de logs de conexão

Gerenciamento de certificados com o AWS Certificate Manager