Introducción a la directiva TLS de Puerta de enlace de aplicaciones para contenedores
Puede usar Puerta de enlace de aplicaciones para contenedores de Azure para controlar los cifrados TLS para cumplir los objetivos de cumplimiento y seguridad de la organización.
La directiva TLS incluye la definición de la versión del protocolo TLS, los conjuntos de cifrado y el orden en el que se prefieren los cifrados durante un protocolo de enlace TLS. Puerta de enlace de aplicaciones para contenedores ofrece actualmente dos directivas predefinidas entre las que elegir.
Detalles de uso y versión
- Una directiva TLS personalizada permite configurar la versión mínima del protocolo, los cifrados y las curvas elípticas de la puerta de enlace.
- Si no se define ninguna directiva TLS, se usa una directiva TLS predeterminada.
- Los conjuntos de cifrado TLS que se usan para la conexión también se basan en el tipo de certificado que se utiliza. Los conjuntos de cifrado negociados entre clientes y Puerta de enlace de aplicaciones para contenedores se basan en la configuración Cliente de escucha de puerta de enlace, tal y como se define en YAML. Los conjuntos de cifrado que se usan para establecer conexiones entre Application Gateway para contenedores y el destino de back-end se basan en el tipo de certificados de servidor presentados por el destino de back-end.
Directiva TLS predefinida
Puerta de enlace de aplicaciones para contenedores ofrece dos directivas de seguridad predefinidas. Puede elegir cualquiera de estas directivas para lograr el nivel de seguridad adecuado. Los nombres de directiva se definen por año y mes (AAAA-MM) de introducción. Además, puede existir una variante -S para indicar una variante más estricta de los cifrados que se pueden negociar. Cada directiva ofrece diferentes versiones de protocolos TLS y conjuntos de cifrado. Estas directivas predefinidas se configuran teniendo en cuenta los procedimientos recomendados y las recomendaciones del equipo de seguridad de Microsoft. Se recomienda usar las directivas TLS más recientes para garantizar la máxima seguridad TLS.
En la tabla siguiente se muestra la lista de conjuntos de cifrado y la compatibilidad con la versión mínima del protocolo en cada directiva predefinida. El orden de los conjuntos de cifrado determina el orden de prioridad durante la negociación TLS. Para conocer el orden exacto de los conjuntos de cifrado para estas directivas predefinidas.
| Nombres de directiva predefinidos | 2023-06 | 2023-06-S |
|---|---|---|
| Versión mínima del protocolo | TLS 1.2 | TLS 1.2 |
| Versiones de protocolo habilitadas | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Curvas elípticas | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Las versiones de protocolo, los cifrados y las curvas elípticas no especificadas en la tabla anterior no se admiten y no se negocian.
Directiva TLS predeterminada
Cuando no se especifica ninguna directiva TLS en la configuración de Kubernetes, se aplicará directiva predefinida 2023-06.
Configuración de una directiva TLS
La directiva TLS se puede definir en un recurso de FrontendTLSPolicy, que tiene como destino agentes de escucha de puerta de enlace definidos. Especifique un policyType de tipo predefinned y use elija el nombre de directiva predefinido: 2023-06 o 2023-06-S
Comando de ejemplo para crear un nuevo recurso FrontendTLSPolicy con la directiva TLS predefinida 2023-06-S.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de