Azure-alkalmazás service TLS áttekintése
Feljegyzés
Előfordulhat, hogy az ügyfelek értesülnek a TLS 1.0 és 1.1 kivonási értesítéséről az Azure-szolgáltatásokkal való interakciókról. Ez a kivonás nem érinti az App Service-ben vagy az Azure Functionsben futó alkalmazásokat. A bejövő kérések TLS 1.0 vagy TLS 1.1 elfogadására konfigurált App Service- vagy Azure Functions-alkalmazások továbbra is változatlanul futnak.
Mit tesz a TLS az App Service-ben?
A Transport Layer Security (TLS) egy széles körben elterjedt biztonsági protokoll, amely a kiszolgálók és ügyfelek közötti kapcsolatok és kommunikáció védelmére szolgál. Az App Service lehetővé teszi az ügyfelek számára, hogy TLS/SSL-tanúsítványokkal biztosítsák a webalkalmazásaikhoz érkező bejövő kéréseket. Az App Service jelenleg különböző TLS-funkciókat támogat az ügyfelek számára a webalkalmazások védelme érdekében.
Tipp.
Az Azure Copilot a következő kérdéseket is felteheti:
- A TLS mely verziói támogatottak az App Service-ben?
- Milyen előnyökkel jár a TLS 1.3 használata a korábbi verziókhoz képest?
- Hogyan módosíthatom az App Service-környezet titkosítási csomagjának sorrendjét?
Az Azure Copilot megkereséséhez az Azure Portal eszköztárán válassza a Copilot lehetőséget.
Támogatott TLS-verzió az App Service-ben?
A webalkalmazásba érkező bejövő kérelmek esetében az App Service támogatja a TLS 1.0-s, 1.1-s, 1.2-s és 1.3-os verzióját.
A TLS minimális verziójának beállítása
Kövesse az alábbi lépéseket az App Service-erőforrás minimális TLS-verziójának módosításához:
- Tallózás az alkalmazáshoz az Azure Portalon
- A bal oldali menüben válassza a konfigurációt , majd az Általános beállítások lapot.
- A minimális bejövő TLS-verzióban a legördülő menüben válassza ki a kívánt verziót.
- A módosítások mentéséhez válassza a Mentés lehetőséget.
Minimális TLS-verzió az Azure Policy használatával
Az Azure Policy segítségével naplózhatja az erőforrásokat a TLS minimális verziójának használatakor. Az App Service-alkalmazásoknak a TLS legújabb verziószabályzat-definícióját kell használniuk , és módosítaniuk kell az értékeket a kívánt minimális TLS-verzióra. Más App Service-erőforrásokhoz hasonló szabályzatdefiníciókért tekintse meg a beépített szabályzatdefiníciók listáját – Az App Service-hez készült Azure Policy.
A TLS minimális verziója és az SCM minimális TLS-verziója
Az App Service azt is lehetővé teszi, hogy minimális TLS-verziót állítson be a webalkalmazásba és az SCM-webhelyre irányuló bejövő kérelmekhez. Alapértelmezés szerint a webalkalmazásba és az SCM-be érkező bejövő kérések minimális TLS-verziója 1.2 lesz a portálon és az API-n is.
TLS 1.3
A TLS 1.3-hoz elérhető egy minimális TLS-titkosítási csomag beállítás. Ez két rejtjelcsomagot tartalmaz a titkosítási csomag megrendelésének tetején:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 és 1.1
A TLS 1.0 és 1.1 örökölt protokollok, és már nem tekinthetők biztonságosnak. Általában ajánlott, hogy az ügyfelek a TLS 1.2-es vagy újabb verzióját használják minimális TLS-verzióként. Webalkalmazás létrehozásakor a TLS alapértelmezett minimális verziója a TLS 1.2 lesz.
A TLS 1.0 és a TLS 1.1 visszamenőleges kompatibilitásának biztosítása érdekében az App Service továbbra is támogatja a TLS 1.0-t és az 1.1-et a webalkalmazásba érkező bejövő kérelmek esetében. Mivel azonban az alapértelmezett minimális TLS-verzió TLS 1.2-es, frissítenie kell a webalkalmazás minimális TLS-verziókonfigurációit TLS 1.0 vagy 1.1 verzióra, hogy a kérelmek ne legyenek elutasítva.
Fontos
A webalkalmazások bejövő és az Azure-ba irányuló bejövő kérései eltérően lesznek kezelve. Az App Service továbbra is támogatja a TLS 1.0- és 1.1-et a webalkalmazások felé irányuló bejövő kérelmek esetében. A közvetlenül az Azure-ba irányuló, például ARM-sel vagy API-val érkező kérések esetében nem ajánlott a TLS 1.0 vagy 1.1 használata.
Minimális TLS-titkosítási csomag (előzetes verzió)
Feljegyzés
A minimális TLS-titkosítási csomag a prémium termékváltozatokon támogatott, a több-bérlős App Service esetében pedig magasabb.
A minimális TLS-titkosítási csomag tartalmazza a titkosítócsomagok rögzített listáját, amelyek optimális prioritási sorrendben nem módosíthatók. A titkosítási csomagok átrendezése vagy újrareferálása nem ajánlott, mivel a webalkalmazásokat gyengébb titkosítással teheti elérhetővé. Nem adhat hozzá új vagy különböző titkosítási csomagokat a listához. A minimális titkosítási csomag kiválasztásakor a rendszer automatikusan letiltja a webalkalmazás kevésbé biztonságos titkosítási csomagjait anélkül, hogy lehetővé tenné, hogy csak néhány gyengébb titkosítási csomagot tiltson le szelektíven.
Mik azok a titkosítási csomagok, és hogyan működnek az App Service-ben?
A titkosítócsomagok olyan utasítások, amelyek algoritmusokat és protokollokat tartalmaznak az ügyfelek és kiszolgálók közötti hálózati kapcsolatok biztonságossá tételéhez. Alapértelmezés szerint az előtér operációs rendszere az App Service és az ügyfél által támogatott legbiztonságosabb titkosítási csomagot választja. Ha azonban az ügyfél csak a gyenge titkosítási csomagokat támogatja, akkor az előtér operációs rendszere végül egy gyenge titkosítási csomagot választ, amelyet mindkettő támogat. Ha a szervezet korlátozásokat alkalmaz arra vonatkozóan, hogy milyen titkosítási csomagokat ne engedélyezzen, frissítheti a webalkalmazás minimális TLS titkosítási csomag tulajdonságát, hogy a gyenge titkosítási csomagok le legyenek tiltva a webalkalmazás számára.
App Service Environment (ASE) V3 fürtbeállítással FrontEndSSLCipherSuiteOrder
Fürtbeállítással rendelkező FrontEndSSLCipherSuiteOrder App Service-környezetek esetén frissítenie kell a beállításokat, hogy két TLS 1.3 titkosítási csomagot (TLS_AES_256_GCM_SHA384 és TLS_AES_128_GCM_SHA256) tartalmazzon. A frissítés után indítsa újra az előtért a módosítás érvénybe lépéséhez. Továbbra is tartalmaznia kell a dokumentumokban említett két szükséges titkosítási csomagot.
Végpontok közötti TLS-titkosítás (előzetes verzió)
A végpontok közötti (E2E) TLS-titkosítás standard App Service-csomagokban és újabb verziókban érhető el. Az App Service előtér-végpontjai és az alkalmazás-számítási feladatokat futtató feldolgozók közötti előtérbeli fürtközi forgalom mostantól titkosítható.