# TLS mútua de origem com o CloudFront
<a name="origin-mtls-authentication"></a>

A autenticação TLS mútua (autenticação Transport Layer Security mútua ou mTLS) é um protocolo de segurança que estende a autenticação TLS padrão exigindo autenticação bidirecional baseada em certificado, em que tanto o cliente quanto o servidor devem provar sua identidade antes de estabelecer uma conexão segura.

## mTLS de visualizador versus mTLS de origem
<a name="viewer-mtls-vs-origin-mtls"></a>

A autenticação mútua (mTLS) pode ser habilitada entre os visualizadores e a distribuição do CloudFront (mTLS de visualizador) e/ou também entre a distribuição do CloudFront e a origem (mTLS de origem). Esta documentação refere-se à configuração de mTLS de origem. Para ter informações sobre a configuração de mTLS de visualizador, consulte [Autenticação TLS mútua com o CloudFront (mTLS de visualizador)TLS mútua de origem com o CloudFront](mtls-authentication.md).

A mTLS de origem permite que o CloudFront se autentique em servidores de origem usando certificados de cliente. Com a mTLS de origem, é possível garantir que somente as distribuições autorizadas do CloudFront estabeleçam conexões com os servidores de aplicações, o que ajuda a oferecer proteção contra tentativas de acesso não autorizado.

**nota**  
Em conexões mTLS de origem, o CloudFront atua como cliente e apresenta o respectivo certificado de cliente ao servidor de origem durante o handshake do TLS. O CloudFront não realiza a confirmação da validade ou do status de revogação do certificado do cliente. Isso é responsabilidade do servidor de origem. A infraestrutura de origem deve ser configurada para validar o certificado do cliente com relação ao armazenamento confiável, verificar a expiração do certificado e realizar verificações de revogação (como validação de CRL ou OCSP) de acordo com os requisitos de segurança. A função do CloudFront se limita à apresentação do certificado. Toda a lógica de validação de certificados e todas as políticas de segurança são aplicadas pelos servidores de origem.

## Como funciona
<a name="how-origin-mtls-works"></a>

Em um handshake do TLS padrão entre o CloudFront e a origem, somente o servidor de origem apresenta um certificado para provar sua identidade ao CloudFront. Com a mTLS de origem, o processo de autenticação é bidirecional. Quando o CloudFront tenta se conectar ao servidor de origem, ele apresenta um certificado de cliente durante o handshake do TLS. O servidor de origem valida esse certificado com relação ao armazenamento confiável antes de estabelecer a conexão segura.

## Casos de uso
<a name="origin-mtls-use-cases"></a>

A mTLS de origem atende a vários cenários críticos de segurança em que os métodos tradicionais de autenticação criam custos operacionais indiretos:
+ **Segurança em ambiente híbrido e multinuvem**: é possível proteger conexões entre o CloudFront e origens hospedadas fora da AWS ou origens públicas na AWS. Isso elimina a necessidade de gerenciar listas de permissões de IP ou soluções de cabeçalho personalizadas, oferecendo autenticação consistente baseada em certificados na AWS, em data centers on-premises e em provedores terceiros. Empresas de mídia, varejistas e empresas que operam infraestrutura distribuída se beneficiam de controles de segurança padronizados em toda a infraestrutura.
+ **API B2B e segurança de backend**: é possível proteger suas APIs e microsserviços de backend contra tentativas de acesso direto e, ao mesmo tempo, manter os benefícios de desempenho do CloudFront. Plataformas de SaaS, sistemas de processamento de pagamentos e aplicações empresarias com requisitos rígidos de autenticação podem verificar se as solicitações de API se originam somente de distribuições autorizadas do CloudFront, evitando ataques man-in-the-middle e tentativas de acesso não autorizado.

## Importante: requisitos do servidor de origem
<a name="important-origin-server-requirements"></a>

A mTLS de origem exige que os servidores de origem sejam configurados para permitir autenticação TLS mútua. A infraestrutura de origem deve ser capaz de:
+ Solicitar e validar certificados de cliente durante handshakes do TLS.
+ Manter um armazenamento confiável com os certificados da autoridade de certificação que emitiu os certificados de cliente do CloudFront.
+ Registrar e monitorar eventos de conexão TLS mútua.
+ Gerenciar políticas de validação de certificados e lidar com falhas de autenticação.

O CloudFront gerencia a apresentação de certificados do lado do cliente, mas os servidores de origem são responsáveis por validar esses certificados e gerenciar a conexão TLS mútua. Para habilitar a mTLS de origem no CloudFront, a infraestrutura de origem deve estar configurada corretamente.

## Introdução
<a name="how-origin-mtls-getting-started"></a>

Para implementar a mTLS de origem com o CloudFront, será necessário importar o certificado do cliente no AWS Certificate Manager, configurar o servidor de origem para exigir a TLS mútua e habilitar a mTLS de origem na distribuição do CloudFront. As seções a seguir oferecem instruções detalhadas para cada tarefa de configuração.

**Topics**
+ [mTLS de visualizador versus mTLS de origem](#viewer-mtls-vs-origin-mtls)
+ [Como funciona](#how-origin-mtls-works)
+ [Casos de uso](#origin-mtls-use-cases)
+ [Importante: requisitos do servidor de origem](#important-origin-server-requirements)
+ [Introdução](#how-origin-mtls-getting-started)
+ [Gerenciamento de certificados com o AWS Certificate Manager](origin-certificate-management-certificate-manager.md)
+ [Habilitar a TLS mútua de origem para distribuições do CloudFront](origin-enable-mtls-distributions.md)
+ [Usar o CloudFront Functions com a TLS mútua de origem](origin-mtls-cloudfront-functions.md)