Espectador de TLS mutua (mTLS)

La autenticación TLS mutua (Autenticación de seguridad de la capa de transporte mutua: mTLS) es un protocolo de seguridad que amplía la autenticación TLS estándar al requerir una autenticación bidireccional basada en certificados, en la que tanto el cliente como el servidor deben demostrar su identidad antes de establecer una conexión segura. Con TLS mutua, puede asegurarse de que solo los clientes que presenten certificados TLS de confianza accedan a las distribuciones de CloudFront.

Funcionamiento

En un establecimiento de comunicación de TLS estándar, solo el servidor presenta un certificado que demuestre su identidad al cliente. Con TLS mutua, el proceso de autenticación pasa a ser bidireccional. Cuando un cliente intenta conectarse a la distribución de CloudFront, CloudFront solicita un certificado de cliente durante el establecimiento de comunicación de TLS. El cliente debe presentar un certificado X.509 válido que CloudFront valida en el almacén de confianza configurado antes de establecer la conexión segura.

CloudFront realiza esta validación de certificados en ubicaciones periféricas de AWS, lo que reduce la complejidad de la autenticación de los servidores de origen y, al mismo tiempo, mantiene los beneficios de rendimiento global de CloudFront. Puede configurar mTLS de dos modos: el modo de verificación (que requiere que todos los clientes presenten certificados válidos) o el modo opcional (que valida los certificados cuando se presentan, pero también permite las conexiones sin certificados).

Casos de uso

La autenticación TLS mutua con CloudFront aborda varios escenarios de seguridad críticos en los que los métodos de autenticación tradicionales son insuficientes: