Share via

Az Application Gateway TLS-szabályzatának áttekintése

  • Cikk

Az Azure-alkalmazás Átjáróval központosíthatja a TLS/SSL-tanúsítványkezelést, és csökkentheti a háttérkiszolgáló-farm titkosítási és visszafejtési többletterhelését. Ez a központosított TLS-kezelés lehetővé teszi a szervezeti biztonsági követelményeknek megfelelő központi TLS-szabályzat megadását is. Ez segít megfelelni a megfelelőségi követelményeknek, valamint a biztonsági irányelveknek és az ajánlott eljárásoknak.

A TLS-szabályzat tartalmazza a TLS protokollverzió, valamint a titkosítási csomagok, valamint a titkosítások TLS-kézfogás során történő használatát. Az Application Gateway két mechanizmust kínál a TLS-szabályzat szabályozásához. Használhat előre definiált vagy egyéni szabályzatot is.

Használati és verzióadatok

  • Az SSL 2.0 és 3.0 le van tiltva minden alkalmazásátjáró esetében, és nem konfigurálható.
  • Az egyéni TLS-házirendek lehetővé teszik bármely TLS-protokoll kiválasztását az átjáró minimális protokollverziójaként: TLSv1_0, TLSv1_1, TLSv1_2 vagy TLSv1_3.
  • Ha nincs TLS-szabályzat kiválasztva, a rendszer az erőforrás létrehozásához használt API-verzió alapján alkalmaz egy alapértelmezett TLS-szabályzatot .
  • A TLS 1.3-at támogató 2022-es előre definiált és Customv2 szabályzatok csak az Application Gateway V2 termékváltozatai (Standard_v2 vagy WAF_v2) érhetők el.
  • A 2022-es előre definiált vagy Customv2-szabályzatok használata javítja a teljes átjáró SSL-biztonságát és teljesítménybeli helyzetét (SSL-szabályzat és SSL-profil esetén). Ezért a régi és az új szabályzatok nem létezhetnek egy átjárón. Ha az ügyfelek régebbi TLS-verziókat vagy titkosításokat (például TLS 1.0-s verziót) igényelnek, a régebbi előre definiált vagy egyéni szabályzatokat kell használniuk az átjárón.
  • A kapcsolathoz használt TLS-titkosítási csomagok a használt tanúsítvány típusán is alapulnak. A "client to Application Gateway connections" (Ügyfél–Application Gateway-kapcsolatok) titkosítási csomagok az Application Gateway figyelőtanúsítványainak típusán alapulnak. Míg az "application gateway to backend pool connections" létrehozásához használt titkosítási csomagok a háttérkiszolgálók által bemutatott kiszolgálótanúsítványok típusán alapulnak.

Előre definiált TLS-szabályzat

Az Application Gateway számos előre definiált biztonsági szabályzatot kínál. Az átjárót ezen szabályzatok bármelyikével konfigurálhatja a megfelelő biztonsági szint eléréséhez. A szabályzatneveket a konfigurálás évében és hónapjában (AppGwSslPolicy<YYYYYMMDD>) jegyzetekkel láthatja el. Minden szabályzat különböző TLS protokollverziókat és/vagy titkosítási csomagokat kínál. Ezek az előre definiált szabályzatok a Microsoft biztonsági csapatának ajánlott eljárásait és javaslatait szem előtt tartva vannak konfigurálva. Javasoljuk, hogy a legújabb TLS-szabályzatokkal biztosítsa a legjobb TLS-biztonságot.

Az alábbi táblázat a titkosítási csomagok listáját és az egyes előre definiált szabályzatok minimális protokollverzió-támogatását mutatja be. A titkosítási csomagok sorrendje határozza meg a prioritási sorrendet a TLS-egyeztetés során. Az előre definiált szabályzatokhoz tartozó titkosítási csomagok pontos sorrendjének megismeréséhez tekintse meg a PowerShell, a CLI, a REST API vagy a Figyelők panelt a portálon.

Előre definiált szabályzatnevek (AppGwSslPolicy<YYYYMMDD>) 20150501 20170401 20170401S 20220101 20220101S
Minimális protokollverzió 1,0 1,1 1,2 1,2 1,2
Engedélyezett protokollverziók 1,0
1,1
1,2		 1,1
1,2		 1,2 1,2
1.3		 1,2
1.3
Alapértelmezett Igaz
(az API 2023-02-01-es verziójához < )		 Hamis False Igaz
(AZ API-verzió >= 2023-02-01)		 Hamis
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Alapértelmezett TLS-szabályzat

Ha az Application Gateway erőforráskonfigurációjában nincs megadva meghatározott SSL-szabályzat, a rendszer egy alapértelmezett TLS-szabályzatot alkalmaz. Ennek az alapértelmezett szabályzatnak a kiválasztása az átjáró létrehozásához használt API-verzión alapul.

  • A 2023-02-01-es vagy újabb API-verziók esetében a minimális protokollverzió 1.2 (az 1.3-as verzió támogatott). Az ezekkel az API-verziókkal létrehozott átjárók egy írásvédett tulajdonságot fognak látni az alapértelmezettPredefinedSslPolicy:AppGwSslPolicy20220101 tulajdonságban az erőforrás-konfigurációban. Ez a tulajdonság határozza meg a használni kívánt alapértelmezett TLS-szabályzatot.
  • A régebbi, 2023-02-01-es API-verziók < esetében a minimális protokollverzió 1.0 (az 1.2-es verzióig támogatott), mivel alapértelmezés szerint az előre definiált AppGwSslPolicy20150501 szabályzatot használják.

Ha az alapértelmezett TLS nem felel meg a követelménynek, válasszon egy másik előre definiált szabályzatot, vagy használjon egyénit.

Megjegyzés:

Hamarosan megjelenik az Azure PowerShell és a CLI támogatása a frissített alapértelmezett TLS-szabályzathoz.

Egyéni TLS-szabályzat

Ha a követelményekhez TLS-szabályzatot kell konfigurálni, használhat egyéni TLS-szabályzatot. Egyéni TLS-szabályzattal teljes mértékben szabályozhatja a támogatott minimális TLS protokollverziót, valamint a támogatott titkosítási csomagokat és azok prioritási sorrendjét.

Megjegyzés:

Az újabb, erősebb titkosítások és TLSv1.3-támogatás csak a CustomV2 szabályzattal érhető el. Fokozott biztonsági és teljesítménybeli előnyöket biztosít.

Fontos

  • Ha egyéni SSL-szabályzatot használ az Application Gateway v1 termékváltozatában (Standard vagy WAF), győződjön meg arról, hogy hozzáadja a kötelező "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" titkosítást a listához. Ez a titkosítás szükséges a metrikák és a naplózás engedélyezéséhez az Application Gateway v1 termékváltozatában. Ez az Application Gateway v2 termékváltozat (Standard_v2 vagy WAF_v2) esetében nem kötelező.
  • A TLSv1.3-hoz kötelező a "TLS_AES_128_GCM_SHA256" és a "TLS_AES_256_GCM_SHA384" titkosítási csomag. Ezeket NEM kell külön megemlítenie, ha a CustomV2-szabályzatot a PowerShell vagy a parancssori felület használatával állítja be az 1.2-es vagy 1.3-as minimális protokollverzióval. Ennek megfelelően ezek a rejtjelcsomagok nem jelennek meg a Részletek lekérése kimenetben, a Portal kivételével.

Titkosítócsomagok

Az Application Gateway az alábbi titkosítási csomagokat támogatja, amelyek közül kiválaszthatja az egyéni szabályzatot. A titkosítási csomagok sorrendje határozza meg a prioritási sorrendet a TLS-egyeztetés során.

  • TLS_AES_128_GCM_SHA256 (csak a Customv2-vel érhető el)
  • TLS_AES_256_GCM_SHA384 (csak a Customv2-vel érhető el)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Korlátozások

  • A háttérkiszolgálókkal való kapcsolatok mindig a minimális TLS 1.0-s protokollal és legfeljebb TLS 1.2-s verzióval vannak elosztva. Ezért csak a TLS 1.0-s, 1.1-s és 1.2-s verziói támogatottak a háttérkiszolgálókkal való biztonságos kapcsolat létesítéséhez.
  • A TLS 1.3-as implementációja jelenleg nem engedélyezve van a "Zero Round Trip Time (0-RTT)" funkcióval.
  • A TLS-munkamenet (azonosító vagy jegyek) újraindítása nem támogatott.
  • Az Application Gateway v2 nem támogatja a következő DHE-titkosításokat. Ezek nem használhatók az ügyfelekkel való TLS-kapcsolatokhoz, annak ellenére, hogy az előre definiált szabályzatok megemlítik őket. DHE-titkosítások helyett ajánlott biztonságos és gyorsabb ECDHE-titkosításokat használni.
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • A "Maximális töredékhosszúság egyeztetése" támogatást kereső korlátozott ügyfeleknek az újabb 2022-es előre definiált vagy Customv2 szabályzatokat kell használniuk.

Következő lépések

Ha meg szeretné ismerni a TLS-szabályzatok konfigurálását, olvassa el a TLS-szabályzatverziók és titkosítási csomagok konfigurálása az Application Gatewayen című témakört.