Amazon CloudFront объявляет о поддержке аутентификации по протоколу взаимной защиты транспортного уровня (mTLS)
Amazon CloudFront объявляет о поддержке аутентификации по mTLS, протоколу безопасности, требующему, чтобы и сервер, и клиент подтверждали свою подлинность с помощью сертификатов X.509. Это позволяет проверять идентификационные данные клиентов в периферийных местоположениях CloudFront. Теперь можно гарантировать, что доступ к дистрибутивам смогут получить только клиенты, представившие доверенные сертификаты, что позволяет обеспечить защиту от несанкционированного доступа и угроз безопасности.
Ранее приходилось внедрять и поддерживать собственные решения для управления доступом клиентов и выполнять большой объем связанных с этим непрофильных трудоемких задач. Теперь с поддержкой протокола mTLS идентификационные данные клиентов легко проверить на периферии AWS до установления соединений с серверами приложений или API. Примеры использования: безопасные B2B-интеграции через API (предприятия) и аутентификация клиентов (IoT). Для обеспечения безопасности API в B2B-решениях предприятия могут аутентифицировать запросы доверенных третьих сторон и партнеров к API по протоколу mTLS. В сценариях использования IoT, может проверяться, авторизованы ли устройства для получения проприетарного контента, например, обновления прошивки. Подписать сертификаты X.509 клиенты могут через сторонние центры сертификации, которыми они уже пользуются, или через Частный центр сертификации AWS. Взаимная аутентификация по протоколу mTLS позволяет пользоваться производительностью и масштабируемостью CloudFront для рабочих нагрузок, требующих аутентификации клиентов.
Аутентификация по протоколу mTLS доступна всем клиентам CloudFront без дополнительной оплаты. Клиенты могут настроить mTLS с помощью CloudFront, через Консоль управления AWS, интерфейс командной строки, SDK, CDK и CloudFormation. Подробные рекомендации и инструкции по внедрению см. в документации CloudFront Mutual TLS (для клиентов).