View a markdown version of this page

Autenticazione TLS reciproca con CloudFront (Viewer mTLS) - Amazon CloudFront
Come funzionaCasi d’uso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione TLS reciproca con CloudFront (Viewer mTLS)

L'autenticazione TLS reciproca (Mutual Transport Layer Security Authentication — MTLS) è un protocollo di sicurezza che estende l'autenticazione TLS standard richiedendo l'autenticazione bidirezionale basata su certificati, in cui sia il client che il server devono dimostrare la propria identità prima di stabilire una connessione sicura. Utilizzando Mutual TLS, puoi garantire che solo i client che presentano certificati TLS affidabili abbiano accesso alle tue distribuzioni. CloudFront

Come funziona

In un handshake TLS standard, solo il server presenta un certificato per dimostrare la propria identità al client. Con il TLS reciproco, il processo di autenticazione diventa bidirezionale. Quando un client tenta di connettersi alla tua CloudFront distribuzione, CloudFront richiede un certificato client durante l'handshake TLS. Il client deve presentare un X.509 certificato valido che sia CloudFront convalidato rispetto all'archivio di fiducia configurato prima di stabilire la connessione sicura.

CloudFront esegue la convalida del certificato presso le AWS edge location, alleggerendo la complessità dell'autenticazione dai server di origine e mantenendo al contempo i vantaggi in termini CloudFront di prestazioni globali. È possibile configurare gli MTL in tre modalità:

  • Modalità richiesta (impostazione predefinita): CloudFront convalida il certificato client rispetto a un trust store. Se la convalida fallisce o non viene presentato alcun certificato, CloudFront nega la connessione. Utilizza la modalità richiesta quando ogni client deve autenticarsi con un certificato valido.

  • Modalità opzionale: CloudFront convalida il certificato client, se ne viene presentato uno, ma consente le connessioni senza certificato. I metadati dei certificati sono disponibili nelle funzioni di connessione e nelle intestazioni HTTP dell'utente di origine per prendere decisioni di autorizzazione. Utilizza la modalità opzionale quando supporti client autenticati e non autenticati.

  • Modalità passthrough: CloudFront non convalida il certificato del client rispetto a un trust store. CloudFront verifica solo che il client possieda la chiave privata corrispondente. Inoltra il certificato all'origine come intestazioni HTTP per l'origine per eseguire la convalida. Non è richiesto alcun trust store e non viene eseguita alcuna memorizzazione nella cache. Utilizzate la modalità passthrough quando avete implementazioni MTL esistenti all'origine.

Casi d’uso

L'autenticazione TLS reciproca CloudFront affronta diversi scenari di sicurezza critici in cui i metodi di autenticazione tradizionali sono insufficienti:

  • Autenticazione dei dispositivi con memorizzazione nella cache dei contenuti: puoi autenticare console di gioco, dispositivi IoT o hardware aziendale prima di consentire l'accesso agli aggiornamenti del firmware, ai download di giochi o alle risorse interne. Ogni dispositivo contiene un certificato unico che ne dimostra l'autenticità sfruttando al contempo le funzionalità di memorizzazione nella cache. CloudFront

  • API-to-API autenticazione: è possibile proteggere la comunicazione da macchina a macchina tra partner commerciali, sistemi di pagamento o microservizi affidabili. Certificate-based l'autenticazione elimina la necessità di segreti condivisi o chiavi API, fornendo al contempo una solida verifica dell'identità per gli scambi automatici di dati.

Argomenti