Administración de protocolos y cifrados en Azure API Management

SE APLICA A: todos los niveles de API Management

Azure API Management admite varias versiones del protocolo de Seguridad de la capa de transporte (TLS) para proteger el tráfico de API de:

• Lado cliente (cliente a puerta de enlace de API Management)
• Lado back-end (puerta de enlace de API Management a back-end)

API Management también admite varios conjuntos de cifrado usados por la puerta de enlace de API.

En función del nivel de servicio, API Management admite versiones tls de hasta 1.2 o TLS 1.3 para la conectividad de cliente y back-end y varios conjuntos de cifrado admitidos. Esta guía muestra cómo administrar la configuración de los protocolos y cifrados en una instancia de Azure API Management.

Nota:

• Si va a usar la puerta de enlace autohospedada, consulte Seguridad de puerta de enlace autohospedada para administrar protocolos TLS y conjuntos de cifrado.
• Los siguientes niveles no admiten cambios en la configuración de cifrado predeterminada: Consumo, Basic v2, Standard v2, Premium v2.
• En las áreas de trabajo, la puerta de enlace administrada no admite cambios en el protocolo predeterminado y la configuración de cifrado.

Nota:

En función del nivel de servicio de API Management, los cambios pueden tardar entre 15 y 45 minutos o más en aplicarse. Una instancia del nivel de servicio Desarrollador tiene tiempo de inactividad durante el proceso. Las instancias de los niveles Básico y superiores no tienen tiempo de inactividad durante el proceso.

Requisitos previos

• Una instancia de API Management Cree una suscripción si todavía no lo ha hecho.

Vaya a la instancia de API Management.

1. En Azure Portal, busque y seleccione Servicios de API Management:

   

2. En la página Servicios de API Management , seleccione la instancia de API Management:

   

Administración de protocolos TLS y conjuntos de cifrado

1. En el panel de navegación izquierdo de la instancia de API Management, en Seguridad, seleccione Protocolos y cifrados.
2. Habilite o deshabilite los protocolos o los cifrados que quiera.
3. Seleccione Guardar.

Nota:

Algunos protocolos o conjuntos de cifrado (como TLS 1.2 en el back-end) no se pueden habilitar ni deshabilitar desde Azure Portal. En su lugar, deberá usar la llamada API REST. Use la estructura properties.customProperties de la API REST Create/Update API Management Service.

Compatibilidad con TLS 1.3 en niveles clásicos

La compatibilidad con TLS 1.3 está disponible en los niveles de servicio clásicos de API Management (Consumo, Desarrollador, Básico, Estándar y Premium). En la mayoría de los casos creados en esos niveles de servicio, TLS 1.3 está habilitado permanentemente de forma predeterminada para las conexiones del lado cliente. La habilitación de TLS 1.3 del lado back-end es opcional. TLS 1.2 también está habilitado de forma predeterminada en los lados de cliente y back-end.

TLS 1.3 es una revisión importante del protocolo TLS que proporciona una mayor seguridad y rendimiento. Incluye características como la latencia reducida del protocolo de enlace y una mayor seguridad frente a determinados tipos de ataques.

Nota:

Los niveles v2 de API Management y las puertas de enlace del área de trabajo admiten TLS 1.2 de forma predeterminada para las conexiones del lado cliente y del lado back-end. Actualmente no admiten TLS 1.3.

Opcionalmente, habilite TLS 1.3 cuando los clientes requieran renegociación de certificados.

TLS 1.3 no admite la renegociación de certificados. La renegociación de certificados en TLS permite al cliente y al servidor renegociar los parámetros de conexión a mitad de sesión para la autenticación sin terminar la conexión.

Los servicios que hemos identificado como dependientes de la renegociación de certificados de cliente no tienen TLS 1.3 habilitado de forma predeterminada.

Advertencia

Si los clientes compatibles con TLS acceden a las API que dependen de la renegociación de certificados, habilitar TLS 1.3 para las conexiones del lado cliente hará que esos clientes no se conecten. Revise las API que recientemente usaron la renegociación de certificados antes de habilitar TLS 1.3 del lado cliente en cualquier servicio que no lo tenga habilitado de forma predeterminada.

Para habilitar TLS 1.3 para las conexiones del lado cliente en estas instancias, configure los valores en la página Protocolos y cifrados :

1. En la página Protocolos y cifrados , en la sección Protocolo de cliente , junto a TLS 1.3, seleccione Ver y administrar la configuración.
2. Revise la lista de renegociaciones de certificados de cliente recientes. En la lista se muestran las operaciones de API en las que los clientes han usado recientemente la renegociación de certificados de cliente.
3. Si decide habilitar TLS 1.3 para las conexiones del lado cliente, seleccione Habilitar.
4. Seleccione Cerrar.

Después de habilitar TLS 1.3, revise las métricas de solicitud de puerta de enlace o las excepciones relacionadas con TLS en los registros que indican errores de conexión TLS. Si es necesario, deshabilite TLS 1.3 para las conexiones del lado cliente y cambie a TLS 1.2.

Si necesita deshabilitar TLS 1.3 para las conexiones del lado cliente en estas instancias, configure los valores en la página Protocolos y cifrados :

1. En la página Protocolos y cifrados , en la sección Protocolo de cliente , junto a TLS 1.3, seleccione Ver y administrar la configuración.
2. Seleccione Deshabilitar.
3. Seleccione Cerrar.

TLS 1.3 del lado back-end

La habilitación de TLS 1.3 del lado back-end es opcional. Si lo habilita, API Management usa TLS 1.3 para las conexiones a los servicios back-end.

Advertencia

La habilitación de TLS 1.3 para las conexiones del lado back-end provocará errores de conexión con servicios back-end que dependen de la renegociación de certificados de cliente entre API Management y los back-end.

Puede habilitar TLS 1.3 del lado back-end desde la página Protocolos y cifrados :

1. En la página Protocolos y cifrados , en la sección Protocolo de back-end , habilite la configuración TLS 1.3 .
2. Seleccione Guardar.

Contenido relacionado

• Para ver recomendaciones sobre cómo proteger la instancia de API Management, consulte Línea de base de seguridad de Azure para API Management.
• Obtenga información sobre las consideraciones de seguridad en los procedimientos recomendados de arquitectura de API Management para API Management.
• Más información sobre TLS.