View a markdown version of this page

Origin Mutual TLS mit CloudFront - Amazon CloudFront
Viewer mTLS gegen Origin mTLSFunktionsweiseAnwendungsfälleWichtig: Anforderungen an den Origin ServerErste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Origin Mutual TLS mit CloudFront

Mutual TLS Authentication (Mutual Transport Layer Security Authentication — mTLS) ist ein Sicherheitsprotokoll, das die standardmäßige TLS-Authentifizierung um eine bidirektionale zertifikatsbasierte Authentifizierung erweitert, bei der sowohl Client als auch Server ihre Identität nachweisen müssen, bevor eine sichere Verbindung hergestellt werden kann.

Viewer mTLS gegen Origin mTLS

Die gegenseitige Authentifizierung (mTLS) kann zwischen Zuschauern und Ihrer CloudFront Distribution (Viewer-MTLS) and/or sowie zwischen Ihrer CloudFront Distribution und der Herkunft (Ursprungs-MTLS) aktiviert werden. Diese Dokumentation bezieht sich auf die mTLS-Konfiguration von Origin. Informationen zur mTLS-Konfiguration des Viewers finden Sie unter:. Gegenseitige TLS-Authentifizierung mit CloudFront (Viewer mTLS)

Origin mTLS ermöglicht es CloudFront , sich mithilfe von Client-Zertifikaten bei Ihren Ursprungsservern zu authentifizieren. Mit Origin mTLS können Sie sicherstellen, dass nur Ihre autorisierten CloudFront Distributionen Verbindungen zu Ihren Anwendungsservern herstellen können, was zum Schutz vor unbefugten Zugriffsversuchen beiträgt.

Anmerkung

Bei den ursprünglichen mTLS-Verbindungen CloudFront fungiert es als Client und legt während des TLS-Handshakes sein Client-Zertifikat Ihrem Ursprungsserver vor. CloudFront führt keine Überprüfung des Gültigkeits- oder Sperrstatus des Client-Zertifikats durch — dafür ist Ihr Ursprungsserver verantwortlich. Ihre Ausgangsinfrastruktur muss so konfiguriert sein, dass sie das Client-Zertifikat anhand seines Vertrauensspeichers validiert, den Ablauf des Zertifikats überprüft und Sperrprüfungen (wie CRL- oder OCSP-Validierung) gemäß Ihren Sicherheitsanforderungen durchführt. CloudFrontIhre Rolle beschränkt sich auf die Vorlage des Zertifikats. Die gesamte Logik und Sicherheitsrichtlinien für Zertifikate werden von Ihren Ursprungsservern durchgesetzt.

Funktionsweise

Bei einem standardmäßigen TLS-Handshake zwischen CloudFront und einem Ursprung legt nur der Ursprungsserver ein Zertifikat vor, dem er seine Identität nachweist. CloudFront Mit Ursprungs-MTLS wird der Authentifizierungsprozess bidirektional. Wenn CloudFront versucht wird, eine Verbindung zu Ihrem Ursprungsserver herzustellen, CloudFront wird während des TLS-Handshakes ein Client-Zertifikat vorgelegt. Ihr Ursprungsserver validiert dieses Zertifikat anhand seines Trust Stores, bevor er die sichere Verbindung herstellt.

Anwendungsfälle

Origin mTLS befasst sich mit mehreren kritischen Sicherheitsszenarien, in denen herkömmliche Authentifizierungsmethoden einen betrieblichen Mehraufwand verursachen:

  • Hybrid- und Multi-Cloud-Sicherheit — Sie können Verbindungen zwischen CloudFront und außerhalb gehosteten Quellen AWS oder öffentlichen Quellen sichern. AWS Dadurch entfällt die Notwendigkeit, IP-Zulassungslisten oder benutzerdefinierte Header-Lösungen zu verwalten, wodurch eine konsistente zertifikatsbasierte Authentifizierung in allen lokalen Rechenzentren AWS und bei Drittanbietern gewährleistet wird. Medienunternehmen, Einzelhändler und Unternehmen, die verteilte Infrastrukturen betreiben, profitieren von standardisierten Sicherheitskontrollen für ihre gesamte Infrastruktur.

  • B2B-API und Backend-Sicherheit — Sie können Ihr Backend APIs und Ihre Microservices vor direkten Zugriffsversuchen schützen und gleichzeitig die Leistungsvorteile beibehalten CloudFront. SaaS-Plattformen, Zahlungsabwicklungssysteme und Unternehmensanwendungen mit strengen Authentifizierungsanforderungen können überprüfen, ob API-Anfragen nur von autorisierten CloudFront Distributionen stammen, wodurch man-in-the-middle Angriffe und unbefugte Zugriffsversuche verhindert werden.

Wichtig: Anforderungen an den Origin Server

Origin mTLS erfordert, dass Ihre Original-Server so konfiguriert sind, dass sie die gegenseitige TLS-Authentifizierung unterstützen. Ihre Ausgangsinfrastruktur muss in der Lage sein:

  • Client-Zertifikate bei TLS-Handshakes anfordern und validieren

  • Pflege eines Vertrauensspeichers mit den Zertifikaten der Zertifizierungsstelle, die die Client-Zertifikate ausgestellt hat CloudFront

  • Protokollierung und Überwachung gegenseitiger TLS-Verbindungsereignisse

  • Verwaltung von Richtlinien zur Zertifikatsvalidierung und Behandlung von Authentifizierungsfehlern

CloudFront kümmert sich um die clientseitige Vorlage der Zertifikate, aber Ihre Ursprungsserver sind für die Validierung dieser Zertifikate und die Verwaltung der gegenseitigen TLS-Verbindung verantwortlich. Stellen Sie sicher, dass Ihre Ausgangsinfrastruktur ordnungsgemäß konfiguriert ist, bevor Sie die Ursprungs-MTLS aktivieren. CloudFront

Erste Schritte

Um Original-MTLS mit zu implementieren CloudFront, müssen Sie das Client-Zertifikat in AWS Certificate Manager importieren, Ihren Ursprungsserver so konfigurieren, dass gegenseitiges TLS erforderlich ist, und Original-MTLS auf Ihrer CloudFront Distribution aktivieren. Die folgenden Abschnitte enthalten step-by-step Anweisungen für jede Konfigurationsaufgabe.

Themen