由于提供的文本包含大量的乱码和无法识别的字符,我无法直接将其翻译成另一种语言。如果您能提供一段去除乱码后的正常文本,我将很乐意帮助您进行翻译。(来源:AWS网络与内容传输博客)
这一功能弥补了CDN架构中存在的缺陷。虽然观众在数据流进入网络边界之前会进行MTLS认证,但那些掌握了源IP地址的攻击者可以绕过CloudFront,直接连接到后端服务器。此前,各组织通常会维护包含CloudFront边缘节点IP地址的允许列表,或者采用自定义认证头机制,而这需要边缘节点与源服务器之间进行协调。
自2014年以来,Cloudflare就提供了经过身份验证的源站数据拉取服务,不过其中存在一个区别:Cloudflare使用的共享证书只能证明请求来自Cloudflare的网络,而无法确定具体是哪位客户的服务器发出的请求。因此,Cloudflare的客户需要自行上传自定义证书才能实现真正的隔离;而CloudFront的做法则是默认提供这种隔离功能。
性能方面的影响主要体现在连接建立阶段,而非数据传输过程中。每次进行MTLS握手操作都会增加一些加密处理开销,但CloudFront通过连接池技术将这些开销分摊到多个请求上。由于CloudFront会在边缘节点缓存大部分数据流量,因此绝大多数请求实际上并不会到达源服务器。AWS指出,TLS 1.3协议更快的握手速度使得这种认证机制在医疗、金融服务和政府等行业中尤为适用——在这些领域,明确的身份验证和审计记录是必不可少的要求。
最后需要说明的是,Origin MTLS功能是完全免费的,它已经包含在Business和Premium套餐的定价方案中。