Поддержка mutual TLS для источников в Amazon CloudFront
Amazon CloudFront объявляет о поддержке взаимной аутентификации TLS (mutual TLS, mTLS) для источников. Этот протокол безопасности позволяет клиентам удостовериться, что запросы к их серверам источника поступают только из авторизованных дистрибутивов CloudFront с использованием сертификатов TLS. Такая аутентификация на основе сертификатов обеспечивает криптографическую проверку удостоверений CloudFront, избавляя клиентов от необходимости задействовать специализированные средства контроля безопасности.
В прошлом для проверки того, что запросы поступают из дистрибутивов CloudFront, клиентам необходимо было создавать и поддерживать особые решения аутентификации, например заголовки разделения секретов или списки разрешенных IP-адресов, особенно для общедоступных источников или источников с внешним хостингом. Такие подходы создавали постоянные управленческие издержки в связи с необходимостью ротации секретов, обновления разрешенных списков и поддержки специализированного кода. Теперь же, благодаря поддержке mTLS для источников, клиенты могут использовать стандартизированный подход к аутентификации на основе сертификатов, который устраняет эту управленческую нагрузку. Он позволит организациям применять строгую аутентификацию для своего защищенного контента, гарантируя, что подключаться к внутренней инфраструктуре смогут только проверенные дистрибутивы CloudFront, начиная от источников AWS и локальных серверов и заканчивая сторонними поставщиками облачных услуг и внешними сетями доставки контента (CDN). Клиенты могут использовать клиентские сертификаты, выпускаемые Частным центром сертификации AWS или сторонними частными центрами сертификации, которые импортируются через Менеджер сертификатов AWS.
Клиенты могут настроить mTLS для источников с помощью Консоли управления AWS, Интерфейса командной строки (CLI), пакета средств разработки ПО (SDK), комплекта для облачной разработки (CDK) или CloudFormation. Аутентификация mTLS поддерживается для всех источников, поддерживающих mTLS в AWS, таких как Балансировщик нагрузки приложений и API-шлюз, а также для локальных и настраиваемых источников. Дополнительная плата за mTLS для источников не взимается. Аутентификация mTLS для источников также доступна по тарифам с фиксированной ставкой «Бизнес» и «Премиум». Подробные инструкции по внедрению и рекомендации см. в документации по mutual TLS для источников CloudFront.