Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Skladové položky služby Application Gateway V2 se můžou spouštět v režimu fiPS (Federal Information Processing Standard) 140, který se běžně označuje jako "režim FIPS". V režimu FIPS služba Application Gateway podporuje kryptografické moduly a šifrování dat. Režim FIPS volá kryptografický modul ověřený standardem FIPS 140-2, který zajišťuje algoritmy kompatibilní se standardem FIPS pro šifrování, hashování a podepisování, pokud je povoleno.
Mraky a oblasti
| Cloud | Stav | Výchozí chování |
|---|---|---|
| Azure Government (Fairfax) | Podporováno | Povoleno pro nasazení prostřednictvím portálu |
| Public | Podporováno | Disabled |
| Platforma Microsoft Azure provozovaná společností 21Vianet | Podporováno | Disabled |
Vzhledem k tomu, že fiPS 140 je povinné pro federální agentury USA, služba Application Gateway V2 má ve výchozím nastavení povolený režim FIPS v cloudu Azure Government (Fairfax). Zákazníci můžou zakázat režim FIPS, pokud mají starší klienty používající starší sady šifer, i když se nedoporučuje. V rámci dodržování předpisů FedRAMP vláda USA vyžaduje, aby systémy fungovaly v režimu schváleném fips po srpnu 2024.
Ve zbytku cloudů se zákazníci musí přihlásit, aby povolili režim FIPS.
Operace režimu FIPS
Application Gateway využívá proces postupného upgradu k implementaci konfigurací s kryptografickým modulem ověřeným fiPS napříč všemi instancemi. Doba trvání povolení nebo zakázání režimu FIPS může být v závislosti na počtu nakonfigurovaných nebo aktuálně spuštěných instancí v rozsahu 15 až 60 minut.
Důležité
Změna konfigurace režimu FIPS může trvat 15 až 60 minut v závislosti na počtu instancí vaší brány.
Po povolení brána výhradně podporuje zásady TLS a šifrovací sady, které splňují standardy FIPS. V důsledku toho se na portálu zobrazí pouze omezený výběr zásad TLS (předdefinovaných i vlastních).
Podporované zásady TLS
Application Gateway nabízí dva mechanismy pro řízení zásad TLS. Můžete použít předdefinovanou zásadu nebo vlastní zásadu. Úplné podrobnosti najdete v přehledu zásad PROTOKOLU TLS. Prostředek služby Application Gateway s podporou FIPS podporuje pouze následující zásady.
Předdefinované
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
Vlastní V2
Verze
- TLS 1.3
- TLS 1.2
Šifrovací sady
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Kvůli omezené kompatibilitě zásad TLS povolení FIPS automaticky vybere AppGwSslPolicy202020101 pro zásady SSL i profil SSL. Můžete ho upravit tak, aby později používala jiné zásady TLS kompatibilní se standardem FIPS. Pokud chcete podporovat starší klienty s jinými nekompatibilními šifrovacími sadami, je možné zakázat režim FIPS, i když se nedoporučuje pro prostředky v rámci infrastruktury FedRAMP.
Povolení režimu FIPS ve skladové poště V2
Azure Portal
Pokud chcete řídit nastavení režimu FIPS prostřednictvím webu Azure Portal,
- Přejděte k prostředku služby Application Gateway.
- Otevřete panel Konfigurace v levém podokně.
- Přepněte přepínač režimu FIPS jako "Povoleno".
Další kroky
Přečtěte si o podporovaných zásadách TLS ve službě Application Gateway.