Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
BERLAKU UNTUK: Semua tingkat API Management
Azure API Management mendukung beberapa versi protokol Keamanan Lapisan Transportasi (TLS) untuk mengamankan lalu lintas API untuk:
- Pihak klien (klien ke gateway API Management)
- Bagian backend (gateway manajemen API ke backend)
API Management juga mendukung beberapa kumpulan sandi yang digunakan oleh gateway API.
Bergantung pada tingkat layanan, API Management mendukung versi TLS hingga 1.2 atau TLS 1.3 untuk konektivitas klien dan backend dan beberapa suite sandi yang didukung. Panduan ini menunjukkan kepada Anda cara mengelola konfigurasi sandi dan protokol untuk instans API Management Azure.
Catatan
- Jika Anda menggunakan gateway yang dihost sendiri, lihat keamanan gateway yang dihost sendiri untuk mengelola protokol TLS dan suite sandi.
- Tingkatan berikut tidak mendukung perubahan pada konfigurasi cipher default: Consumption, Basic v2, Standard v2, Premium v2.
- Di ruang kerja, gateway terkelola tidak mendukung perubahan pada protokol default dan konfigurasi cipher.
Catatan
Bergantung pada tingkat layanan API Management, perubahan dapat memakan waktu 15 hingga 45 menit atau lebih lama untuk diterapkan. Instans di tingkat layanan Pengembang memiliki waktu henti selama proses. Instans di tingkat Dasar dan yang lebih tinggi tidak memiliki waktu henti selama proses.
Prasyarat
- Sebuah instansi Pengelolaan API. Buat jika Anda belum melakukannya.
Pergi ke instans API Management Anda
Di portal Azure , cari dan pilih layanan API Management :
Pada halaman layanan API Management , pilih instans API Management Anda:
Cara mengelola protokol TLS dan cipher suite
- Di navigasi kiri instans API Management Anda, di bawah Keamanan, pilih Protokol + cipher.
- Mengaktifkan atau menonaktifkan protokol atau cipher yang diinginkan.
- Pilih Simpan.
Catatan
Beberapa protokol atau cipher suite (seperti TLS 1.2 sisi backend) tidak dapat diaktifkan atau dinonaktifkan dari portal Azure. Sebagai gantinya, Anda harus menerapkan panggilan REST API. Gunakan struktur properties.customProperties dalam Create/Update Layanan Manajemen API REST API.
Dukungan TLS 1.3 di tingkat klasik
Dukungan TLS 1.3 tersedia di tingkat layanan klasik API Management (Konsumsi, Pengembang, Dasar, Standar, dan Premium). Dalam kebanyakan instans yang dibuat di tingkat layanan tersebut, TLS 1.3 diaktifkan secara permanen secara default untuk koneksi sisi klien. Mengaktifkan TLS sisi ujung belakang 1.3 bersifat opsional. TLS 1.2 juga diaktifkan secara default di sisi klien dan backend.
TLS 1.3 adalah revisi utama protokol TLS yang memberikan peningkatan keamanan dan performa. Ini termasuk fitur seperti mengurangi latensi jabat tangan dan meningkatkan keamanan terhadap jenis serangan tertentu.
Catatan
Tingkat v2 API Management dan gateway ruang kerja mendukung TLS 1.2 secara default untuk koneksi sisi klien dan sisi backend. Mereka saat ini tidak mendukung TLS 1.3.
Aktifkan TLS 1.3 secara opsional saat klien memerlukan negosiasi ulang sertifikat
TLS 1.3 tidak mendukung negosiasi ulang sertifikat. Negosiasi ulang sertifikat di TLS memungkinkan klien dan server untuk menegosiasikan ulang parameter koneksi di tengah sesi untuk autentikasi tanpa mengakhiri koneksi.
Layanan yang kami identifikasi bergantung pada negosiasi ulang sertifikat klien tidak mengaktifkan TLS 1.3 secara default.
Peringatan
Jika API Anda diakses oleh klien yang mematuhi TLS yang mengandalkan negosiasi ulang sertifikat, mengaktifkan TLS 1.3 untuk koneksi sisi klien akan menyebabkan klien tersebut gagal terhubung. Tinjau API yang baru-baru ini menggunakan negosiasi ulang sertifikat sebelum mengaktifkan TLS 1.3 sisi klien dalam layanan apa pun yang tidak mengaktifkannya secara default.
Untuk mengaktifkan TLS 1.3 untuk koneksi sisi klien dalam instans ini, konfigurasikan pengaturan pada halaman Protokol + cipher :
- Pada halaman Protokol + cipher , di bagian Protokol klien , di samping TLS 1.3, pilih Tampilkan dan kelola konfigurasi.
- Tinjau daftar renegosiasi sertifikat klien terbaru. Daftar ini menunjukkan operasi API di mana klien baru-baru ini menggunakan negosiasi ulang sertifikat klien.
- Jika Anda memilih untuk mengaktifkan TLS 1.3 untuk koneksi sisi klien, pilih Aktifkan.
- Pilih Tutup.
Setelah mengaktifkan TLS 1.3, tinjau metrik permintaan gateway atau pengecualian terkait TLS dalam log yang menunjukkan kegagalan koneksi TLS. Jika perlu, nonaktifkan TLS 1.3 untuk koneksi sisi klien dan turunkan ke TLS 1.2.
Jika Anda perlu menonaktifkan TLS 1.3 untuk koneksi sisi klien dalam instans ini, konfigurasikan pengaturan pada halaman Protokol + cipher :
- Pada halaman Protokol + cipher , di bagian Protokol klien , di samping TLS 1.3, pilih Tampilkan dan kelola konfigurasi.
- Pilih Nonaktifkan.
- Pilih Tutup.
TLS sisi ujung belakang 1.3
Mengaktifkan TLS sisi ujung belakang 1.3 bersifat opsional. Jika Anda mengaktifkannya, API Management menggunakan TLS 1.3 untuk koneksi ke layanan backend Anda.
Peringatan
Mengaktifkan TLS 1.3 untuk koneksi sisi backend akan menyebabkan kegagalan koneksi dengan layanan backend yang bergantung pada negosiasi ulang sertifikat klien antara API Management dan backend.
Anda dapat mengaktifkan TLS sisi backend 1.3 dari halaman Protokol + cipher :
- Pada halaman Protokol + cipher , di bagian Protokol backend , aktifkan pengaturan TLS 1.3 .
- Pilih Simpan.
Konten terkait
- Untuk rekomendasi tentang mengamankan instans API Management Anda, lihat Garis besar keamanan Azure untuk API Management.
- Pelajari tentang pertimbangan keamanan dalam Manajemen API di praktik terbaik Arsitektur untuk Manajemen API.
- Pelajari selengkapnya tentang TLS.