Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Poznámka:
Vyřazení protokolu TLS 1.1 a TLS 1.0 ve službách Azure nemá vliv na aplikace spuštěné ve službě Azure App Service, Azure Functions nebo Azure Logic Apps (Standard). Aplikace ve službě App Service, Azure Functions nebo Logic Apps (Standard), které jsou nakonfigurované tak, aby přijímaly protokol TLS 1.1 nebo TLS 1.0 pro příchozí požadavky, budou dál fungovat bez ovlivnění.
Tls (Transport Layer Security) je široce používaný protokol zabezpečení, který je navržený k zabezpečení připojení a komunikace mezi servery a klienty. Ve službě Azure App Service můžete k zabezpečení příchozích požadavků ve webových aplikacích použít certifikáty TLS a SSL (Secure Sockets Layer).
App Service podporuje protokol TLS, který pomáhá zajistit:
- Šifrování přenášených dat
- Ověřování webových aplikací pomocí důvěryhodných certifikátů
- Integrita, která brání manipulaci s daty během přenosu.
Návod
Můžete se také zeptat azure Copilotu, asistenta využívajícího AI na webu Azure Portal, a to tyto otázky:
- Jaké verze protokolu TLS jsou podporovány ve službě App Service?
- Jaké jsou výhody používání protokolu TLS 1.3 místo starších verzí?
- Jak můžu změnit pořadí šifrovacích sad pro službu App Service Environment?
V záhlaví stránky na webu Azure Portal vyberte Copilot.
Podpora verzí protokolu TLS
Azure App Service podporuje pro příchozí požadavky vaší webové aplikace následující verze PROTOKOLU TLS:
- TLS 1.3: Nejnovější a nejbezpečnější verze, která je teď plně podporovaná.
- TLS 1.2: Výchozí minimální verze protokolu TLS pro nové webové aplikace
- TLS 1.1 a TLS 1.0: Verze podporované pro zpětnou kompatibilitu, ale nedoporučuje se.
Můžete nakonfigurovat minimální verzi protokolu TLS pro příchozí požadavky na vaši webovou aplikaci a její správce správy zdrojového kódu (SCM). Ve výchozím nastavení je minimum nastavené na TLS 1.2.
Můžete použít Azure Policy k auditování svých prostředků a ověření minimální verze protokolu TLS. Přejděte k definici zásad nejnovější verze protokolu TLS pro aplikace služby App Service a změňte hodnoty na minimální verzi protokolu TLS, kterou chcete, aby vaše webové aplikace používaly. Související definice zásad pro jiné prostředky služby App Service najdete v tématu Seznam předdefinovaných definic zásad – Azure Policy for App Service.
TLS 1.3
Protokol TLS 1.3 je plně podporovaný ve službě App Service a zavádí několik vylepšení oproti protokolu TLS 1.2:
- Silnější zabezpečení se zjednodušenými šifrovacími sadami a předáváním tajemství.
- Rychlejší handshake pro snížení latence.
- Šifrované zprávy handshake pro zvýšenou ochranu soukromí.
Pokud chcete vyžadovat protokol TLS 1.3 pro všechny příchozí požadavky, nastavte na webu Azure Portal minimální verzi příchozího protokolu TLS na TLS 1.3 , Azure CLI nebo šablonu Azure Resource Manageru (šablonu ARM).
Protokol TLS 1.3 podporuje následující šifrovací sady, které jsou opravené a nelze je přizpůsobit:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Tyto sady poskytují silné šifrování a automaticky se používají při vyjednání protokolu TLS 1.3.
TLS 1.2
Protokol TLS 1.2 je výchozí verze protokolu TLS pro Službu App Service. Poskytuje silné šifrování a širokou kompatibilitu, zatímco splňuje standardy dodržování předpisů, jako je standard PCI DSS (Payment Card Industry Data Security Standard). Nové webové aplikace a koncové body SCM ve výchozím nastavení používají protokol TLS 1.2, pokud je nezměníte.
Azure App Service používá zabezpečenou sadu šifrovacích sad TLS 1.2 k zajištění šifrovaných připojení a k ochraně před známými ohroženími zabezpečení. I když můžete povolit protokol TLS 1.1 a TLS 1.0 pro zpětnou kompatibilitu, doporučujeme použít minimální verzi protokolu TLS 1.2.
TLS 1.1 a TLS 1.0
Protokoly TLS 1.1 a TLS 1.0 se považují za starší a už se nepovažují za zabezpečené. Tyto verze jsou ve službě App Service podporovány pouze kvůli zpětné kompatibilitě a měly by se vyhnout, pokud je to možné. Výchozí minimální verze protokolu TLS pro nové aplikace je TLS 1.2 a doporučujeme migrovat aplikace, které používají protokol TLS 1.1 nebo TLS 1.0.
Důležité
Příchozí požadavky na webové aplikace a příchozí požadavky do Azure se zpracovávají odlišně. App Service nadále podporuje protokol TLS 1.1 a TLS 1.0 pro příchozí požadavky na webové aplikace.
U příchozích požadavků provedených přímo do řídicí roviny Azure, například prostřednictvím volání Azure Resource Manageru nebo rozhraní API, doporučujeme nepoužívat protokol TLS 1.1 nebo TLS 1.0.
Minimální šifrovací sada PROTOKOLU TLS
Poznámka:
Nastavení Minimální šifrovací sady TLS je podporováno na úrovni základních SKU nebo vyšších v multitenantní službě App Service.
Minimální šifrovací sada TLS obsahuje pevný seznam šifrovacích sad s optimálním pořadím priority, které nemůžete změnit. Změna pořadí nebo přeuspořádání šifrovacích sad se nedoporučuje, protože by mohly vaše webové aplikace vystavit slabšímu šifrování. Do tohoto seznamu také nemůžete přidat nové nebo jiné šifrovací sady. Když vyberete minimální sadu šifer, systém automaticky zakáže všechny méně zabezpečené šifrovací sady pro vaši webovou aplikaci. Nemůžete selektivně zakázat jenom některé slabší šifrovací sady.
Co jsou šifrovací sady a jak fungují ve službě App Service?
Šifrovací sada je sada instrukcí, která obsahuje algoritmy a protokoly, které pomáhají zabezpečit síťová připojení mezi klienty a servery. Front-endový operační systém ve výchozím nastavení zvolí nejbezpečnější šifrovací sadu, kterou podporuje App Service i klient. Pokud však klient podporuje pouze slabé šifrovací sady, front-endový operační systém by nakonec zvolil slabou šifrovací sadu. Pokud má vaše organizace omezení povolených šifrovacích sad, můžete aktualizovat minimální vlastnost šifrovací sady PROTOKOLU TLS vaší webové aplikace, abyste zajistili, že jsou pro vaši webovou aplikaci zakázané slabé šifrovací sady.
App Service Environment s nastavením clusteru FrontEndSSLCipherSuiteOrder
Pro službu App Service Environment, která mají nakonfigurované nastavení clusteru FrontEndSSLCipherSuiteOrder , aktualizujte nastavení tak, aby obsahovala dvě šifrovací sady TLS 1.3:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Po aktualizaci nastavení clusteru je nutné restartovat front-end, aby se změny projevily. Musíte také zahrnout dvě požadované šifrovací sady popsané dříve, i když aktualizujete na podporu protokolu TLS 1.3. Pokud už používáte FrontEndSSLCipherSuiteOrder, doporučujeme nepovolovat pro webovou aplikaci také minimální šifrovací sadu TLS . Výsledkem můžou být konfliktní konfigurace. Nakonfigurujte pouze jednu z těchto možností pro správu předvoleb šifrovací sady.
Kompletní šifrování TLS
Kompletní šifrování TLS (E2E) zajišťuje, že front-endová komunikace s pracovním procesem v rámci služby Azure App Service je šifrovaná pomocí protokolu TLS. Bez této funkce by příchozí požadavky HTTPS byly zašifrovány při doručení na front-endy, ale provoz z front-endů k pracovníkům, kde běží aplikační úlohy, by se v infrastruktuře Azure přenášel nezašifrovaně.
Protokol TLS E2E pomáhá zajistit úplné šifrování provozu mezi:
- Klienti a front-endy App Service
- Front-endy služby App Service a pracovní procesy hostující aplikaci
Tato funkce je dostupná na:
- Plány Premium služby App Service (doporučené pro nová nasazení)
- Starší verze standardních plánů služby App Service (stávající uživatelé)
Důležité
Plány Premium se doporučují pro nová nasazení, která vyžadují šifrování E2E a další pokročilé funkce zabezpečení.
Povolení kompletního šifrování TLS
Šifrování TLS E2E můžete povolit prostřednictvím:
- Nastavení webu Azure Portal
- Příkazy Azure CLI
- Šablony ARM pro automatizaci
Po povolení šifrování protokolu TLS protokolu E2E se veškerá komunikace uvnitř clusteru pro vaši webovou aplikaci šifruje pomocí protokolu TLS, čímž zajistíte kompletní ochranu dat.
Certifikáty TLS/SSL ve službě App Service
Aby služba App Service sloužila provozu HTTPS, vyžaduje certifikát TLS/SSL, který je svázaný s vaší vlastní doménou. App Service nabízí několik možností certifikátů, od plně spravovaných bezplatných certifikátů až po certifikáty spravované zákazníkem.
Typy certifikátů
Spravované certifikáty služby App Service (zdarma)
- Poskytováno bez poplatků.
- Plně spravovaná službou Azure App Service, včetně automatického prodlužování platnosti.
- Zákazníci nemohou získat přístup k těmto certifikátům, exportovat je nebo je používat mimo službu App Service.
- Nepodporuje zástupné znaky ani vlastní kořenové certifikační autority.
Certifikáty služby App Service (ASC)
- Placené certifikáty vydané GoDaddy.
- Zákazník vlastní a spravuje certifikát.
- Uložené ve službě Key Vault (KV) zákazníka a je možné je exportovat a používat mimo službu App Service.
Přineste si svůj vlastní certifikát (BYOC)
- Nahrání a správa vlastních certifikátů TLS/SSL (formát PFX)
- Plně spravovaná zákazníkem.
Každá z těchto možností poskytuje flexibilitu na základě vašich potřeb zabezpečení a správy.
Propojit certifikáty s vlastními doménami
Po nahrání nebo vytvoření certifikátu ho svážete s vlastní doménou ve webové aplikaci pomocí:
- SSL připojení SNI (Indikace názvu serveru) pro multitenantní hostování
- Vazby PROTOKOLU IP SSL pro vyhrazené IP adresy
Poznámka:
Domény spravované Azure (například *.azurewebsites.net) jsou automaticky zabezpečené pomocí výchozích certifikátů, takže není nutná žádná další konfigurace.
Vzájemné ověřování TLS (mTLS)
Azure App Service podporuje vzájemné TLS (mTLS) na Linuxových a Windows App Service plánech, aby aplikace mohly vyžadovat klientské certifikáty pro zvýšení úrovně zabezpečení.
Jak mTLS funguje
- Klienti prezentují certifikáty, které jsou ověřeny vůči důvěryhodnému řetězu certifikační autority, který konfigurujete.
- Připojit se můžou jenom klienti, kteří mají platné certifikáty.
- Běžně se používá k zabezpečení rozhraní API a interních aplikací.
Možnosti konfigurace
- Povolte mTLS pomocí webu Azure Portal, Azure CLI nebo šablon ARM.
- Nahrajte důvěryhodné certifikáty certifikační autority pro ověření klienta.
- Přístup k informacím o klientském certifikátu v kódu aplikace prostřednictvím hlaviček požadavků
Automatická správa certifikátů
Azure App Service poskytuje integrované funkce pro automatickou správu certifikátů:
Spravované certifikáty služby App Service (zdarma) Automaticky vydáno a obnoveno pro vlastní domény. Tyto certifikáty jsou omezené na základní ověření domény a nepodporují zástupné dokumentace ani exportovatelné certifikáty.
Certifikáty služby App Service (placené) Plně spravované certifikáty, které podporují pokročilé scénáře, včetně domén se zástupným znakem a exportovatelných certifikátů. Tyto certifikáty se ukládají a spravují ve službě Azure Key Vault.
Azure App Service usnadňuje zabezpečení webových aplikací pomocí protokolu TLS a SSL. Díky podpoře moderních verzí PROTOKOLU TLS, flexibilních možností certifikátů a pokročilých funkcí, jako jsou vzájemné TLS, pomáhá App Service chránit přenášená data a splňovat požadavky na dodržování předpisů.