Uma Camada Adicional de Segurança para Distribuições CloudFront
A AWS anunciou o suporte para autenticação TLS Mútuo (mTLS) no Amazon CloudFront, um protocolo de segurança que permite aos clientes verificar se as requisições dirigidas aos seus servidores de origem provêm apenas de distribuições CloudFront autorizadas, usando certificados TLS. Esse mecanismo de autenticação baseado em certificados fornece verificação criptográfica da identidade do CloudFront, eliminando a necessidade de os clientes implementarem controles de segurança personalizados.
O Problema com Abordagens Tradicionais
Anteriormente, comprovar que as requisições vinham de distribuições CloudFront exigia que os clientes desenvolvessem e mantivessem soluções de autenticação customizadas. Exemplos dessas abordagens incluem headers de secret compartilhado ou listas de IP permitidas, particularmente quando as origens eram públicas ou hospedadas externamente.
Essas estratégias demandavam sobrecarga operacional contínua: rotação de secrets, atualização de listas de permissão e manutenção de código personalizado. Com o tempo, isso representava um custo significativo em termos de tempo e complexidade da infraestrutura.
Autenticação Padronizada com Certificados
Com o suporte ao mTLS em origens, as organizações podem implementar uma abordagem de autenticação padronizada e baseada em certificados, eliminando esse trabalho operacional. Isso possibilita reforçar uma autenticação rigorosa para conteúdo proprietário, garantindo que apenas distribuições CloudFront verificadas consigam estabelecer conexões com infraestrutura de backend.
Essa infraestrutura pode incluir origens AWS, servidores locais, provedores de nuvem terceirizados e CDNs externos.
Implementação e Compatibilidade
Os clientes podem aproveitar certificados de cliente emitidos pela AWS Private Certificate Authority ou por Autoridades de Certificação privadas de terceiros, que são importados através do AWS Certificate Manager.
A configuração do mTLS em origens pode ser feita através do AWS Management Console, CLI, SDK, CDK ou CloudFormation. O recurso é suportado para todas as origens compatíveis com TLS Mútuo na AWS, incluindo Application Load Balancer e API Gateway, assim como origens on-premises e customizadas.
Custo e Disponibilidade
Não há cobrança adicional pelo uso de mTLS em origens. O recurso também está disponível nos planos de preço fixo Business e Premium.
Para orientações detalhadas de implementação e melhores práticas, consulte a documentação sobre autenticação TLS Mútuo em origens do CloudFront.
Fonte
Amazon CloudFront announces mutual TLS support for origins (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-cloudfront-mutual-tls-for-origins/)
Leave a Reply