[新产品/新功能] Amazon CloudFront 现已支持双向 TLS 认证

**发布时间:** 2025-11-24 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-mutual-tls-authentication/ ---  [新产品/新功能] Amazon CloudFront 现已支持双向 TLS 认证   # 产品功能分析 ## 新功能/新产品概述 Amazon CloudFront 现已支持 **双向TLS认证 (Mutual TLS Authentication, mTLS)**。这是一种安全协议，要求客户端和服务器双方都使用 **X.509证书** 来相互验证身份。通过此功能，CloudFront 可以在其全球边缘节点对客户端身份进行验证，确保只有持有可信证书的客户端才能访问其内容分发网络。在推出此功能之前，客户通常需要投入持续的精力来实施和维护自己的客户端访问管理解决方案，这属于一种“无差异化的繁重工作”。现在，通过原生的mTLS支持，客户可以在连接建立到其应用服务器或API之前，在AWS网络边缘轻松完成客户端身份验证。 - **目标用户群与市场定位**: - **企业B2B安全API集成**: 用于验证来自可信第三方和合作伙伴的API请求，确保数据交换的安全性。 - **物联网 (IoT) 场景**: 用于验证设备身份，确保只有经过授权的设备才能接收固件更新等专有内容。 - **市场定位**: 将传统上位于应用层或API网关层的客户端强认证能力，前置到CDN边缘，为需要高级别身份验证的应用提供兼具安全与性能的全球访问入口。 ## 关键客户价值 - **增强安全性，前置访问控制** - 通过在网络边缘强制执行客户端证书验证，能够在恶意或未授权流量到达源站之前就将其拦截，极大地提升了后端服务的安全性和可用性。 - 与传统的仅服务器端认证的TLS相比，**mTLS** 提供了更强的双向身份验证机制，有效防止了凭证伪造和未经授权的访问。 - **降低运维复杂性与成本** - 将客户端身份验证的逻辑从应用服务器中剥离，转移到由AWS托管的CloudFront服务上，免去了客户自行开发、部署和维护认证基础设施的负担。 - 该功能本身不收取额外费用，客户可以零成本获得企业级的安全能力，从而降低了总拥有成本 (TCO)。 - **提升性能与可扩展性** - 利用CloudFront的全球分布式边缘网络处理TLS握手和证书验证，认证过程在离用户最近的节点完成，显著降低了请求延迟。 - 将认证负载从源站卸载，使源站可以专注于处理核心业务逻辑，从而提高了整体应用的可扩展性和性能，尤其适用于需要客户端认证的大规模工作负载。 ## 关键技术洞察 - **安全能力的边缘化 (Edge-native Security)** - 该功能是典型的将安全能力下沉至边缘计算节点的实践。它并非在中心化的数据中心或应用层进行认证，而是在全球分布的边缘节点完成，这符合现代分布式应用架构向边缘迁移的趋势，能够更早地识别和阻断威胁。 - **与AWS生态系统的深度集成** - 客户可以灵活地使用其现有的第三方证书颁发机构 (CA)，或与 **AWS Private Certificate Authority (PCA)** 无缝集成。 - 这种集成为已在使用AWS PCA进行内部 **公钥基础设施 (PKI)** 管理的企业提供了极大的便利，形成了一个从证书签发、管理到验证的完整闭环解决方案。 - **声明式基础设施即代码 (IaC) 支持** - 该功能完全支持通过AWS管理控制台、**CLI**、**SDK**、**CDK** 和 **CloudFormation** 进行配置。这意味着客户可以将mTLS的配置作为基础设施代码的一部分进行版本控制和自动化部署，提高了运维效率、可重复性和一致性。   # Amazon CloudFront 宣布支持双向 TLS 认证 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-mutual-tls-authentication/](https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-mutual-tls-authentication/) **发布时间:** 2025-11-24 **厂商:** AWS **类型:** WHATSNEW --- # Amazon CloudFront 宣布支持双向 TLS 认证发布于: 2025 年 11 月 24 日 Amazon CloudFront 宣布支持双向 TLS 认证 (mutual TLS Authentication, mTLS)，这是一种安全协议，要求服务器和客户端使用 X.509 证书相互认证，使客户能够在 CloudFront 的边缘站点 (edge locations) 验证客户端身份。现在，客户可以确保只有持有受信任证书的客户端才能访问其分发 (distributions)，从而帮助防范未经授权的访问和安全威胁。以往，客户需要持续投入精力来实施和维护自己的客户端访问管理解决方案，这带来了无差异化的繁重工作 (undifferentiated heavy lifting)。现在，借助对双向 TLS 的支持，客户可以在与应用程序服务器或 API 建立连接之前，在 AWS 边缘轻松验证客户端身份。典型用例包括企业的 B2B 安全 API 集成和物联网 (IoT) 的客户端身份验证。在 B2B API 安全方面，企业可以使用双向 TLS 认证来自受信任的第三方和合作伙伴的 API 请求。在物联网用例中，企业可以验证设备是否有权接收固件更新等专有内容。客户可以利用其现有的第三方证书颁发机构 (Certificate Authorities) 或 [AWS Private Certificate Authority](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) 来签署 X.509 证书。通过双向 TLS，客户可以为需要客户端身份验证的工作负载获得 CloudFront 的性能和规模优势。双向 TLS 认证功能向所有 CloudFront 客户提供，无需额外费用。客户可以使用 AWS 管理控制台 (AWS Management Console)、CLI、SDK、CDK 和 CloudFormation 来为 CloudFront 配置双向 TLS。有关详细的实施指南和最佳实践，请访问 [CloudFront 双向 TLS (查看器) 文档](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/mtls-authentication.html) 。