本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
原始伺服器與 CloudFront 的交互 TLS
相互 TLS 身分驗證 (相互傳輸層安全身分驗證 — mTLS) 是一種安全通訊協定,透過要求雙向憑證型身分驗證來延伸標準 TLS 身分驗證,其中用戶端和伺服器都必須證明其身分,才能建立安全連線。
檢視器 mTLS 與原始伺服器 mTLS
您可以在檢視器與 CloudFront 分佈 (檢視器 mTLS) 和/或 CloudFront 分佈與原始伺服器 (原始 mTLS) 之間啟用相互身分驗證 (mTLS)。本文件適用於原始伺服器 mTLS 組態。如需檢視器 mTLS 組態,請參閱:使用 CloudFront 進行相互 TLS 身分驗證 (檢視器 mTLS)。
Origin mTLS 可讓 CloudFront 使用用戶端憑證對原始伺服器進行自我驗證。使用原始伺服器 mTLS,您可以確保只有授權的 CloudFront 分佈可以與您的應用程式伺服器建立連線,協助防止未經授權的存取嘗試。
注意
在原始伺服器 mTLS 連線中,CloudFront 充當用戶端,並在 TLS 交握期間將其用戶端憑證呈現給原始伺服器。CloudFront 不會驗證用戶端憑證的有效性或撤銷狀態,這是原始伺服器的責任。您的原始基礎設施必須設定為根據其信任存放區驗證用戶端憑證、檢查憑證過期,並根據您的安全需求執行撤銷檢查 (例如 CRL 或 OCSP 驗證)。CloudFront 的角色僅限於呈現憑證;您的原始伺服器會強制執行所有憑證驗證邏輯和安全性政策。
運作方式
在 CloudFront 與原始伺服器之間的標準 TLS 交握中,只有原始伺服器會呈現憑證,向 CloudFront 證明其身分。使用原始伺服器 mTLS,身分驗證程序會變成雙向。當 CloudFront 嘗試連線到原始伺服器時,CloudFront 會在 TLS 交握期間提供用戶端憑證。您的原始伺服器會在建立安全連線之前,針對其信任存放區驗證此憑證。
使用案例
Origin mTLS 解決了傳統身分驗證方法建立操作開銷的幾個關鍵安全案例:
-
混合多雲端安全性 - 您可以保護 CloudFront 與外部託管的原始伺服器 AWS 或公有原始伺服器之間的連線 AWS。這樣就不需要管理 IP 允許清單或自訂標頭解決方案,跨 AWS、內部部署資料中心和第三方供應商提供一致的憑證型身分驗證。媒體公司、零售商和營運分散式基礎設施的企業都受益於整個基礎設施的標準化安全控制。
-
B2B API 和後端安全性 - 您可以保護後端 APIs和微服務免於直接存取嘗試,同時維護 CloudFront 的效能優勢。具有嚴格身分驗證要求的 SaaS 平台、付款處理系統和企業應用程式可以驗證 API 請求是否僅來自授權的 CloudFront 分發,以防止man-in-the-middle攻擊和未經授權的存取嘗試。
重要:原始伺服器需求
Origin mTLS 需要將原始伺服器設定為支援交互 TLS 身分驗證。您的原始基礎設施必須能夠:
-
在 TLS 交握期間請求和驗證用戶端憑證
-
使用發行 CloudFront 用戶端憑證的憑證授權機構憑證維護信任存放區
-
記錄和監控交互 TLS 連線事件
-
管理憑證驗證政策和處理身分驗證失敗
CloudFront 會處理用戶端憑證呈現,但您的原始伺服器負責驗證這些憑證和管理交互 TLS 連線。在 CloudFront 中啟用原始伺服器 mTLS 之前,請確定您的原始基礎設施已正確設定。
開始使用
若要使用 CloudFront 實作原始伺服器 mTLS,您需要在 AWS Certificate Manager 中匯入用戶端憑證、將原始伺服器設定為需要交互 TLS,並在 CloudFront 分佈上啟用原始伺服器 mTLS。以下各節提供每個組態任務的step-by-step說明。
