Visualizador da TLS mútua (mTLS) - Amazon CloudFront
Como funcionaCasos de uso

Visualizador da TLS mútua (mTLS)

A autenticação TLS mútua (autenticação Transport Layer Security mútua ou mTLS) é um protocolo de segurança que estende a autenticação TLS padrão exigindo autenticação bidirecional baseada em certificado, em que tanto o cliente quanto o servidor devem provar sua identidade antes de estabelecer uma conexão segura. Usando a TLS mútua, você pode garantir que somente clientes que apresentem certificados TLS confiáveis tenham acesso às suas distribuições do CloudFront.

Como funciona

Em um handshake do TLS padrão, somente o servidor apresenta um certificado para provar sua identidade ao cliente. Com a TLS mútua, o processo de autenticação se torna bidirecional. Quando um cliente tenta se conectar a uma distribuição do CloudFront, o CloudFront solicita um certificado de cliente durante o handshake do TLS. Antes de estabelecer uma conexão segura, o cliente deve apresentar um certificado X.509 válido que o CloudFront valida em relação ao armazenamento confiável que você configurou.

O CloudFront realiza essa validação de certificado em locais da borda da AWS, eliminando a complexidade da autenticação de seus servidores de origem e mantendo os benefícios de desempenho global do CloudFront. É possível configurar a mTLS em dois modos: modo de verificação (que exige que todos os clientes apresentem certificados válidos) ou modo opcional (que valida os certificados quando apresentados, mas também permite conexões sem certificados).

Casos de uso

A autenticação TLS mútua com o CloudFront atende a vários cenários críticos de segurança em que os métodos tradicionais de autenticação são insuficientes:

  • Autenticação de dispositivos com armazenamento em cache de conteúdo: é possível autenticar consoles de jogos, dispositivos de IoT ou hardware empresarial antes de permitir o acesso a atualizações de firmware, downloads de jogos ou recursos internos. Cada dispositivo contém um certificado exclusivo que comprova a respectiva autenticidade e, ao mesmo tempo, se beneficia dos recursos de armazenamento em cache do CloudFront.

  • Autenticação de API para API: é possível proteger a comunicação de máquina para máquina entre parceiros comerciais confiáveis, sistemas de pagamento ou microsserviços. A autenticação baseada em certificado elimina a necessidade de segredos compartilhados ou chaves de API, além de fornecer uma verificação de identidade forte para trocas automatizadas de dados.

Tópicos