Application Gateway for Containers TLS-szabályzat áttekintése
A Azure-alkalmazás Tárolók átjárója segítségével szabályozhatja a TLS-titkosításokat, hogy megfeleljenek a szervezet megfelelőségi és biztonsági céljainak.
A TLS-szabályzat tartalmazza a TLS protokollverziójának, a titkosítási csomagoknak a definícióját, valamint azt a sorrendet, amelyben a titkosításokat előnyben részesítik a TLS-kézfogás során. Az Application Gateway for Containers jelenleg két előre definiált szabályzat közül választhat.
Használati és verzióadatok
- Az egyéni TLS-szabályzatokkal konfigurálhatja az átjáró minimális protokollverzióját, titkosításait és elliptikus görbéit.
- Ha nincs definiálva TLS-szabályzat, a rendszer egy alapértelmezett TLS-szabályzatot használ.
- A kapcsolathoz használt TLS-titkosítási csomagok a használt tanúsítvány típusán is alapulnak. Az ügyfél és az Application Gateway for Containers között egyeztetett titkosítási csomagok a YAML-ben meghatározott átjárófigyelő konfigurációján alapulnak. Az Application Gateway for Containers és a háttérbeli cél közötti kapcsolatok létrehozásához használt titkosítási csomagok a háttérbeli cél által bemutatott kiszolgálótanúsítványok típusán alapulnak.
Előre definiált TLS-szabályzat
Az Application Gateway for Containers két előre definiált biztonsági szabályzatot kínál. Ezek közül a szabályzatok közül választhat a megfelelő biztonsági szint eléréséhez. A szabályzatnevek a bevezetés év és hónap (YYYY-MM) alapján vannak meghatározva. Emellett létezhet -S variáns is, amely a tárgyalható rejtjelek szigorúbb változatát jelöli. Minden szabályzat különböző TLS protokollverziókat és titkosítási csomagokat kínál. Ezek az előre definiált szabályzatok a Microsoft biztonsági csapatának ajánlott eljárásait és javaslatait szem előtt tartva vannak konfigurálva. Javasoljuk, hogy a legújabb TLS-szabályzatokkal biztosítsa a legjobb TLS-biztonságot.
Az alábbi táblázat a titkosítási csomagok listáját és az egyes előre definiált szabályzatok minimális protokollverzió-támogatását mutatja be. A titkosítási csomagok sorrendje határozza meg a prioritási sorrendet a TLS-egyeztetés során. Az előre definiált szabályzatok titkosítási csomagjainak pontos sorrendje.
| Előre definiált szabályzatnevek | 2023-06 | 2023-06-S |
|---|---|---|
| Minimális protokollverzió | TLS 1.2 | TLS 1.2 |
| Engedélyezett protokollverziók | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Elliptikus görbék | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
A fenti táblázatban nem megadott protokollverziók, titkosítások és elliptikus görbék nem támogatottak, és nem tárgyalhatók.
Alapértelmezett TLS-szabályzat
Ha nincs megadva TLS-szabályzat a Kubernetes-konfigurációban, az előre definiált 2023-06-os szabályzat lesz alkalmazva.
TLS-szabályzat konfigurálása
A TLS-szabályzat definiálható egy FrontendTLSPolicy erőforrásban, amely meghatározott átjárófigyelőket céloz meg. Adjon meg egy típustípust predefinned , és használja az előre definiált házirendnevet: 2023-06 vagy 2023-06-S
Példaparancs egy új FrontendTLSPolicy-erőforrás létrehozásához az előre definiált 2023-06-S TLS-szabályzattal.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
gateway: gateway-01
listeners:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF