Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les références SKU Application Gateway V2 peuvent s’exécuter dans un mode d’opération approuvé FIPS (Federal Information Processing Standard) 140, communément appelé « mode FIPS ». Avec le mode FIPS, Application Gateway prend en charge les modules de chiffrement et le chiffrement des données. Le mode FIPS appelle un module de chiffrement validé FIPS 140-2 qui garantit l’activation des algorithmes conformes à FIPS pour le chiffrement, le hachage et la signature.
Clouds et régions
| Cloud | Statut | Comportement par défaut |
|---|---|---|
| Azure Government (Fairfax) | Soutenu | Activé pour les déploiements via le portail |
| Publique | Soutenu | Disabled |
| Microsoft Azure géré par 21Vianet | Soutenu | Disabled |
Étant donné que FIPS 140 est obligatoire pour les agences fédérales américaines, Le mode FIPS d’Application Gateway V2 est activé par défaut dans le cloud Azure Government (Fairfax). Les utilisateurs peuvent désactiver le mode FIPS s'ils ont des clients utilisant d'anciennes suites de chiffrement héritées, bien que cela ne soit pas recommandé. Dans le cadre de la conformité fedRAMP, le gouvernement des États-Unis impose que les systèmes fonctionnent en mode approuvé par FIPS après août 2024.
Pour le reste des clouds, les clients doivent choisir d’activer le mode FIPS.
Opération du mode FIPS
Application Gateway utilise un processus de mise à niveau propagé pour implémenter des configurations avec le module de chiffrement validé FIPS sur toutes les instances. La durée de l’activation ou de la désactivation du mode FIPS peut aller de 15 à 60 minutes, selon le nombre d’instances configurées ou en cours d’exécution.
Important
La modification de la configuration du mode FIPS peut prendre entre 15 et 60 minutes en fonction du nombre d’instances de votre passerelle.
Une fois activée, la passerelle prend exclusivement en charge les stratégies TLS et les suites de chiffrement conformes aux normes FIPS. Par conséquent, le portail affiche uniquement la sélection restreinte de stratégies TLS (prédéfinies et personnalisées).
Stratégies TLS prises en charge
Application Gateway offre deux mécanismes pour contrôler la stratégie TLS. Vous pouvez utiliser une stratégie prédéfinie ou une stratégie personnalisée. Pour plus d’informations, consultez la vue d’ensemble de la stratégie TLS. Une ressource Application Gateway compatible FIPS prend uniquement en charge les stratégies suivantes.
Prédéfinis
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
V2 personnalisé
Versions
- TLS 1.3
- TLS 1.2
Suites de chiffrement
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
En raison de la compatibilité restreinte des stratégies TLS, l’activation de FIPS sélectionne automatiquement AppGwSslPolicy20220101 pour « Stratégie SSL » et « Profil SSL ». Il peut être modifié pour utiliser d’autres stratégies TLS conformes à FIPS ultérieurement. Pour prendre en charge les clients anciens avec d’autres suites de chiffrement non conformes, il est possible de désactiver le mode FIPS, même si ce n'est pas recommandé pour les ressources dans l’étendue de l’infrastructure FedRAMP.
Activation du mode FIPS dans le SKU V2
portail Azure
Pour contrôler le paramètre de mode FIPS via le portail Azure,
- Accédez à votre ressource application gateway.
- Ouvrez le panneau Configuration dans le volet de menu de gauche.
- Configurez le mode FIPS sur "Activé".
Étapes suivantes
Découvrez les stratégies TLS prises en charge sur Application Gateway.