Gérer les protocoles et les chiffrements dans Gestion des API Azure

S’APPLIQUE À : Tous les niveaux de Gestion des API

Le service Gestion des API Azure prend en charge plusieurs versions du protocole TLS (Transport Layer Security) pour sécuriser le trafic d’API :

• Côté client (client vers la passerelle de gestion des API)
• Côté back-end (passerelle Gestion des API vers le back-end)

Gestion des API prend également en charge plusieurs suites de chiffrement utilisées par la passerelle API.

Selon le niveau de service, Gestion des API prend en charge les versions TLS jusqu’à 1.2 ou TLS 1.3 pour la connectivité client et back-end et plusieurs suites de chiffrement prises en charge. Ce guide vous montre comment gérer la configuration des protocoles et des chiffrements pour une instance Gestion des API Azure.

Notes

• Si vous utilisez la passerelle auto-hébergée, consultez Sécurité de la passerelle auto-hébergée pour savoir comment gérer les protocoles TLS et les suites de chiffrement.
• Les niveaux suivants ne prennent pas en charge les changements apportés à la configuration de chiffrement par défaut : Consommation, Essentiel v2, Standard v2, Premium v2.
• Dans les espaces de travail, la passerelle managée ne prend pas en charge les modifications apportées au protocole et à la configuration du chiffrement par défaut.

Notes

Selon le niveau de service Gestion des API, les modifications peuvent prendre 15 à 45 minutes ou plus pour s’appliquer. Une instance dans le niveau de service Développeur marque un temps d’arrêt pendant le processus. Les instances des niveaux De base et supérieur ne marquent pas de temps d’arrêt pendant le processus.

Prérequis

• Une instance APIM. Si vous ne l’avez pas déjà fait, créez-en un.

Accéder à votre instance Gestion des API

1. Dans le portail Azure, recherchez et sélectionnez les services Gestion des API :

   

2. Dans la page des services Gestion des API , sélectionnez votre instance Gestion des API :

   

Comment gérer les protocoles TLS et les suites de chiffrement

1. Dans le volet de navigation gauche de votre instance Gestion des API, sous Sécurité, sélectionnez Protocoles + suites de chiffrement.
2. Activez ou désactivez les protocoles ou les chiffrements souhaités.
3. Sélectionnez Enregistrer.

Notes

Certains protocoles ou suites de chiffrement (comme TLS 1.2 côté back-end) ne peuvent pas être activés ni désactivés à partir du portail Azure. Au lieu de cela, vous devez appliquer l’appel d’API REST. Utilisez la structure properties.customProperties dans l’API REST Créer/Mettre à jour du service Gestion des API.

Prise en charge de TLS 1.3 dans les niveaux classiques

La prise en charge de TLS 1.3 est disponible dans les niveaux de service classiques gestion des API (Consommation, Développeur, De base, Standard et Premium). Dans la plupart des cas créés dans ces niveaux de service, TLS 1.3 est activé définitivement par défaut pour les connexions côté client. L’activation du protocole TLS 1.3 côté back-end est facultative. TLS 1.2 est également activé par défaut sur les côtés client et back-end.

TLS 1.3 est une révision majeure du protocole TLS qui offre une sécurité et des performances améliorées. Il comprend des fonctionnalités telles qu'une latence de la prise de contact réduite et une sécurité améliorée contre certains types d’attaques.

Notes

Les niveaux v2 de la gestion des API et des passerelles d’espace de travail prennent en charge TLS 1.2 par défaut pour les connexions côté client et côté back-end. Ils ne prennent actuellement pas en charge TLS 1.3.

Activez éventuellement TLS 1.3 lorsque les clients nécessitent une renégociation de certificat

TLS 1.3 ne prend pas en charge la renégociation de certificat. La renégociation de certificat dans TLS permet au client et au serveur de renégocier les paramètres de connexion au milieu de la session pour l’authentification sans mettre fin à la connexion.

Les services que nous avons identifiés comme dépendants de la renégociation du certificat client n’ont pas tls 1.3 activé par défaut.

Avertissement

Si vos API sont accessibles par les clients compatibles TLS qui s’appuient sur la renégociation de certificat, l’activation de TLS 1.3 pour les connexions côté client entraîne l’échec de la connexion de ces clients. Passez en revue les API qui ont récemment utilisé la renégociation de certificat avant d’activer TLS 1.3 côté client dans n’importe quel service qui n’a pas activé par défaut.

Pour activer TLS 1.3 pour les connexions côté client dans ces instances, configurez les paramètres sur la page Protocoles + chiffrements :

1. Dans la page Protocoles + chiffrements , dans la section Protocole client , en regard de TLS 1.3, sélectionnez Afficher et gérer la configuration.
2. Passez en revue la liste des renégociations de certificat client récents. La liste affiche les opérations d’API où les clients ont récemment utilisé la renégociation de certificat client.
3. Si vous choisissez d’activer TLS 1.3 pour les connexions côté client, sélectionnez Activer.
4. Sélectionnez Fermer.

Après avoir activé TLS 1.3, passez en revue les métriques de demande de passerelle ou les exceptions liées au protocole TLS dans les journaux qui indiquent les échecs de connexion TLS. Si nécessaire, désactivez TLS 1.3 pour les connexions côté client et passez à TLS 1.2.

Si vous devez désactiver TLS 1.3 pour les connexions côté client dans ces instances, configurez les paramètres sur la page Protocoles + chiffrements :

1. Dans la page Protocoles + chiffrements , dans la section Protocole client , en regard de TLS 1.3, sélectionnez Afficher et gérer la configuration.
2. Sélectionnez Désactiver.
3. Sélectionnez Fermer.

TLS 1.3 côté serveur back-end

L’activation du protocole TLS 1.3 côté back-end est facultative. Si vous l’activez, Gestion des API utilise TLS 1.3 pour les connexions à vos services principaux.

Avertissement

L’activation de TLS 1.3 pour les connexions côté back-end entraîne des échecs de connexion avec les services back-end qui s’appuient sur la renégociation de certificat client entre gestion des API et back-ends.

Vous pouvez activer TLS 1.3 côté back-end à partir de la page Protocoles + chiffrements :

1. Dans la page Protocoles + chiffrements , dans la section Protocole principal , activez le paramètre TLS 1.3 .
2. Sélectionnez Enregistrer.

Contenu connexe

• Pour obtenir des recommandations sur la sécurisation de votre instance Gestion des API, consultez Base de référence de la sécurité Azure pour Gestion des API.
• Découvrez les considérations relatives à la sécurité dans les meilleures pratiques relatives à l’architecture de gestion des API pour gestion des API.
• Apprenez-en davantage sur TLS.