Autenticação por Certificado no Amazon MQ
A AWS expandiu as capacidades de segurança do Amazon MQ, seu serviço gerenciado de message broker, anunciando suporte a autenticação baseada em certificados para brokers RabbitMQ. Esse recurso permite que os brokers autentiquem usuários utilizando certificados X.509 (Certificado de Cliente) em conjunto com TLS mútuo (mTLS).
A implementação utiliza o plugin auth_mechanism_ssl do RabbitMQ, que pode ser configurado em brokers executando a versão 4.2 ou superior. Essa abordagem oferece uma alternativa mais robusta aos mecanismos tradicionais de autenticação por nome de usuário e senha, alinhando-se com as melhores práticas de segurança em ambientes corporativos.
Como Funciona o TLS Mútuo
O Mecanismo de Autenticação
O TLS mútuo (mTLS) é um protocolo que estabelece autenticação bidirecional entre cliente e servidor. Ao contrário do TLS tradicional, onde apenas o servidor é autenticado, no mTLS ambas as partes precisam apresentar certificados válidos para estabelecer a conexão. Isso garante que apenas clientes autorizados consigam se conectar ao broker RabbitMQ.
O plugin auth_mechanism_ssl utiliza as informações contidas no certificado X.509 do cliente para determinar quem pode fazer login e quais permissões aquele cliente possui. Dessa forma, a identidade é verificada de forma criptográfica, eliminando a necessidade de transmitir senhas pela rede.
Primeiros Passos na AWS
Criando um Novo Broker com Autenticação por Certificado
Para começar a usar autenticação baseada em certificados no Amazon MQ, você precisa:
- Selecionar a versão RabbitMQ 4.2 ou superior ao criar um novo broker
- Utilizar o tipo de instância M7g
- Editar o arquivo de configuração associado com os valores necessários para ativar o plugin
O processo de criação pode ser feito através de três interfaces: AWS Management Console, AWS CLI (Interface de Linha de Comando) ou AWS SDKs (Software Development Kits). Em qualquer um dos casos, o fluxo é semelhante: você configura os parâmetros do broker e depois ajusta o arquivo de configuração com as propriedades específicas do plugin.
Configuração Técnica
Após criar o broker, você precisará modificar o arquivo de configuração para habilitar o mecanismo SSL. A AWS fornece documentação com os valores configuráveis que podem ser ajustados. Para compreender melhor como o plugin funciona e para acessar exemplos práticos, consulte as notas de lançamento do Amazon MQ e o guia de desenvolvedores do Amazon MQ.
Disponibilidade Regional
Este novo recurso de autenticação por certificado está disponível em todas as regiões onde o Amazon MQ RabbitMQ 4 já funciona atualmente. Isso significa que você pode implementar essa camada de segurança independentemente do local geográfico escolhido para hospedar seus brokers.
Por Que Isso Importa para Sua Infraestrutura
A adição do suporte a mTLS no Amazon MQ representa um fortalecimento significativo na postura de segurança das aplicações que utilizam message brokers. Para organizações que trabalham com dados sensíveis ou que precisam cumprir regulamentações rigorosas de segurança, autenticação baseada em certificados oferece garantias criptográficas muito mais fortes do que autenticação por credenciais simples.
Além disso, a integração com infraestrutura de chave pública (PKI) existente permite que empresas apliquem políticas de rotação de certificados, auditoria de acesso e revogação de credenciais de forma centralizada e controlada.
Fonte
Amazon MQ now supports certificate based authentication with mutual TLS for RabbitMQ brokers (https://aws.amazon.com/about-aws/whats-new/2026/01/amazon-mq-certificate-based-authentication-mutual-tls-rabbitmq/)
Leave a Reply