Mutual TLS (mTLS) -Viewer - Amazon CloudFront
FunktionsweiseAnwendungsfälle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mutual TLS (mTLS) -Viewer

Mutual TLS Authentication (Mutual Transport Layer Security Authentication — mTLS) ist ein Sicherheitsprotokoll, das die standardmäßige TLS-Authentifizierung um eine bidirektionale zertifikatsbasierte Authentifizierung erweitert, bei der sowohl Client als auch Server ihre Identität nachweisen müssen, bevor eine sichere Verbindung hergestellt werden kann. Mithilfe von Mutual TLS können Sie sicherstellen, dass nur Clients, die vertrauenswürdige TLS-Zertifikate vorlegen, Zugriff auf Ihre Distributionen erhalten. CloudFront

Funktionsweise

Bei einem Standard-TLS-Handshake legt nur der Server dem Client ein Zertifikat vor, um seine Identität nachzuweisen. Bei Mutual TLS wird der Authentifizierungsprozess bidirektional. Wenn ein Client versucht, eine Verbindung zu Ihrer CloudFront Distribution herzustellen, CloudFront fordert er während des TLS-Handshakes ein Client-Zertifikat an. Der Client muss ein gültiges X.509-Zertifikat vorlegen, das anhand Ihres konfigurierten Vertrauensspeichers CloudFront validiert wird, bevor die sichere Verbindung hergestellt wird.

CloudFront führt diese Zertifikatsvalidierung an AWS Edge-Standorten durch, wodurch die Komplexität der Authentifizierung von Ihren Ursprungsservern abgenommen wird und gleichzeitig die globalen Leistungsvorteile erhalten bleiben CloudFront. Sie können mTLS in zwei Modi konfigurieren: im Verifizierungsmodus (in dem alle Clients gültige Zertifikate vorlegen müssen) oder im optionalen Modus (der Zertifikate validiert, wenn sie vorgelegt werden, aber auch Verbindungen ohne Zertifikate ermöglicht).

Anwendungsfälle

Die gegenseitige TLS-Authentifizierung CloudFront adressiert mehrere kritische Sicherheitsszenarien, in denen herkömmliche Authentifizierungsmethoden nicht ausreichen:

  • Geräteauthentifizierung mit Inhalts-Caching — Sie können Spielekonsolen, IoT-Geräte oder Unternehmenshardware authentifizieren, bevor Sie Zugriff auf Firmware-Updates, Spiele-Downloads oder interne Ressourcen gewähren. Jedes Gerät enthält ein einzigartiges Zertifikat, das seine Echtheit nachweist und gleichzeitig von den CloudFront Caching-Funktionen profitiert.

  • API-to-API Authentifizierung — Sie können die machine-to-machine Kommunikation zwischen vertrauenswürdigen Geschäftspartnern, Zahlungssystemen oder Mikrodiensten sichern. Die zertifikatsbasierte Authentifizierung macht gemeinsame Geheimnisse oder API-Schlüssel überflüssig und bietet gleichzeitig eine starke Identitätsprüfung für den automatisierten Datenaustausch.

Themen