Správa protokolů a šifer ve službě Azure API Management

PLATÍ PRO: Všechny úrovně správy rozhraní API

Azure API Management podporuje několik verzí protokolu TLS (Transport Layer Security) pro zabezpečení provozu rozhraní API pro:

• Na straně klienta (spojení klienta s bránou API Management)
• Back-endová strana (brána služby API Management do back-endu)

API Management podporuje také několik šifrovacích sad používaných bránou rozhraní API.

V závislosti na úrovni služby podporuje API Management verze protokolu TLS až 1.2 nebo TLS 1.3 pro připojení klienta a back-endu a několik podporovaných šifrovacích sad. V této příručce se dozvíte, jak spravovat konfiguraci protokolů a šifer pro instanci služby Azure API Management.

Poznámka:

• Pokud používáte bránu v místním prostředí, podívejte se na zabezpečení brány v místním prostředí pro správu protokolů TLS a šifrovacích sad.
• Následující úrovně nepodporují změny výchozí konfigurace šifry: Consumption, Basic v2, Standard v2, Premium v2.
• V pracovních prostorech spravovaná brána nepodporuje změny výchozí konfigurace protokolu a šifry.

Poznámka:

V závislosti na úrovni služby API Management může použití změn trvat 15 až 45 minut nebo déle. Instance na úrovni služby Developer má během procesu výpadek. Instance v úrovních Basic a vyšší nemají během procesu výpadek.

Požadavky

• Instance služby API Management. Vytvořte ho, pokud jste to ještě neudělali.

Přejít k instanci služby API Management

1. Na portálu Azure vyhledejte a vyberte služby API Management:

   

2. Na stránce služby API Management vyberte instanci služby API Management:

   

Správa protokolů TLS a šifrovacích sad

1. V levém navigačním panelu vaší instance služby API Management v části Zabezpečení vyberte Protokoly a šifry.
2. Povolte nebo zakažte požadované protokoly nebo šifry.
3. Zvolte Uložit.

Poznámka:

Některé protokoly nebo šifrovací sady (jako je back-endový protokol TLS 1.2) není možné na webu Azure Portal povolit ani zakázat. Místo toho budete muset použít volání rozhraní REST API. Použijte properties.customProperties strukturu v rozhraní REST API Vytvoření/Aktualizace Správy rozhraní API.

Podpora protokolu TLS 1.3 v klasických úrovních

Podpora protokolu TLS 1.3 je dostupná v klasických úrovních služby API Management (Consumption, Developer, Basic, Standard a Premium). Ve většině případů vytvořených v těchto úrovních služby je protokol TLS 1.3 ve výchozím nastavení pro připojení na straně klienta trvale povolený. Povolení protokolu TLS na straně back-endu 1.3 je volitelné. Protokol TLS 1.2 je také ve výchozím nastavení povolený na straně klienta i back-endu.

TLS 1.3 je hlavní revize protokolu TLS, která poskytuje lepší zabezpečení a výkon. Zahrnuje funkce, jako je nižší latence handshake a lepší zabezpečení proti určitým typům útoků.

Poznámka:

Úrovně v2 služby API Management a brány pracovních prostorů ve výchozím nastavení podporují protokol TLS 1.2 pro připojení na straně klienta i backendu. V současné době nepodporují protokol TLS 1.3.

Volitelně povolte protokol TLS 1.3, pokud klienti vyžadují nové vyjednávání certifikátů.

Protokol TLS 1.3 nepodporuje nové vyjednávání certifikátů. Opětovné vyjednávání certifikátů v protokolu TLS umožňuje klientovi a serveru znovu projednat parametry připojení v polovině relace pro ověřování bez ukončení připojení.

Služby, které jsme identifikovali jako závislé na opětovném vyjednávání klientských certifikátů, nemají ve výchozím nastavení povolený protokol TLS 1.3.

Výstraha

Pokud jsou vaše rozhraní API přístupná klienty kompatibilními s protokolem TLS, kteří spoléhají na nové vyjednávání certifikátů, povolení protokolu TLS 1.3 pro připojení na straně klienta způsobí, že se tito klienti nebudou připojovat. Před povolením TLS 1.3 na straně klienta v jakékoli službě, která ho ve výchozím nastavení nemá povolen, zkontrolujte API, která nedávno používala nové vyjednávání certifikátů.

Pokud chcete povolit protokol TLS 1.3 pro připojení na straně klienta v těchto instancích, nakonfigurujte nastavení na stránce Protokoly + šifry :

1. Na stránce Protokoly a šifry v části Protokol klienta vedle protokolu TLS 1.3 vyberte Zobrazit a spravovat konfiguraci.
2. Projděte si seznam nedávných opětovných vyjednávání klientských certifikátů. V seznamu jsou uvedeny operace rozhraní API, ve kterých klienti nedávno použili nové vyjednávání klientských certifikátů.
3. Pokud se rozhodnete pro připojení na straně klienta povolit protokol TLS 1.3, vyberte Povolit.
4. Vyberte Zavřít.

Po povolení protokolu TLS 1.3 zkontrolujte metriky požadavků brány nebo výjimky související s protokolem TLS v protokolech, které označují selhání připojení TLS. V případě potřeby zakažte protokol TLS 1.3 pro připojení na straně klienta a downgradujte na protokol TLS 1.2.

Pokud potřebujete zakázat protokol TLS 1.3 pro připojení na straně klienta v těchto instancích, nakonfigurujte nastavení na stránce Protokoly a šifry :

1. Na stránce Protokoly a šifry v části Protokol klienta vedle protokolu TLS 1.3 vyberte Zobrazit a spravovat konfiguraci.
2. Vyberte Zakázat.
3. Vyberte Zavřít.

Protokol TLS na straně back-endu 1.3

Povolení protokolu TLS na straně back-endu 1.3 je volitelné. Pokud ji povolíte, služba API Management pro připojení k back-endovým službám používá protokol TLS 1.3.

Výstraha

Povolení protokolu TLS 1.3 pro připojení na straně back-endu způsobí selhání připojení s back-endovými službami, které spoléhají na opakované vyjednávání klientských certifikátů mezi službou API Management a back-endy.

Back-endový protokol TLS 1.3 můžete povolit na stránce Protokoly + šifry :

1. Na stránce Protokoly + šifry v části Back-endový protokol povolte nastavení TLS 1.3 .
2. Zvolte Uložit.

Související obsah

• Doporučení týkající se zabezpečení instance služby API Management najdete v tématu Standardní hodnoty zabezpečení Azure pro SLUŽBU API Management.
• Zjistěte více o aspektech zabezpečení v osvědčených postupech architektury správy API.
• Přečtěte si další informace o protokolu TLS.