Gambaran umum Azure App Service TLS
Catatan
Pelanggan mungkin mengetahui pemberitahuan penghentian TLS 1.0 dan 1.1 untuk interaksi dengan layanan Azure. Penghentian ini tidak memengaruhi aplikasi yang berjalan di App Service atau Azure Functions. Aplikasi pada App Service atau Azure Functions yang dikonfigurasi untuk menerima TLS 1.0 atau TLS 1.1 untuk permintaan masuk akan terus berjalan tanpa terpengaruh.
Apa yang dilakukan TLS di App Service?
Keamanan Lapisan Transportasi (TLS) adalah protokol keamanan yang diadopsi secara luas yang dirancang untuk mengamankan koneksi dan komunikasi antara server dan klien. App Service memungkinkan pelanggan menggunakan sertifikat TLS/SSL untuk mengamankan permintaan masuk ke aplikasi web mereka. App Service saat ini mendukung serangkaian fitur TLS yang berbeda bagi pelanggan untuk mengamankan aplikasi web mereka.
Tip
Anda juga dapat mengajukan pertanyaan-pertanyaan ini kepada Azure Copilot:
- Versi TLS apa yang didukung di App Service?
- Apa manfaat menggunakan TLS 1.3 daripada versi sebelumnya?
- Bagaimana cara mengubah pesanan cipher suite untuk Lingkungan App Service saya?
Untuk menemukan Azure Copilot, pada toolbar portal Azure, pilih Copilot.
Versi TLS yang Didukung di App Service?
Untuk permintaan masuk ke aplikasi web Anda, App Service mendukung TLS versi 1.0, 1.1, 1.2, dan 1.3.
Atur Versi TLS Minimum
Ikuti langkah-langkah ini untuk mengubah versi TLS Minimum sumber daya App Service Anda:
- Telusuri ke aplikasi Anda di portal Azure
- Di menu sebelah kiri, pilih konfigurasi lalu pilih tab Pengaturan umum.
- Pada Versi TLS Masuk Minimum, menggunakan menu dropdown, pilih versi yang Anda inginkan.
- Pilih Simpan untuk menyimpan perubahan.
Versi TLS Minimum dengan Azure Policy
Anda dapat menggunakan Azure Policy untuk membantu mengaudit sumber daya Anda dalam hal versi TLS minimum. Anda dapat merujuk ke aplikasi App Service harus menggunakan definisi kebijakan versi TLS terbaru dan mengubah nilai ke versi TLS minimum yang Anda inginkan. Untuk definisi kebijakan serupa untuk sumber daya App Service lainnya, lihat Daftar definisi kebijakan bawaan - Azure Policy untuk App Service.
Versi TLS Minimum dan Versi TLS Minimum SCM
App Service juga memungkinkan Anda mengatur versi TLS minimum untuk permintaan masuk ke aplikasi web Anda dan ke situs SCM. Secara default, versi TLS minimum untuk permintaan masuk ke aplikasi web Anda dan ke SCM diatur ke 1.2 di portal dan API.
TLS 1.3
Pengaturan Cipher Suite TLS Minimum tersedia dengan TLS 1.3. Ini termasuk dua suite sandi di bagian atas pesanan cipher suite:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 dan 1.1
TLS 1.0 dan 1.1 dianggap sebagai protokol warisan dan tidak lagi dianggap aman. Umumnya disarankan bagi pelanggan untuk menggunakan TLS 1.2 atau lebih tinggi sebagai versi TLS minimum. Saat membuat aplikasi web, versi TLS minimum default adalah TLS 1.2.
Untuk memastikan kompatibilitas mundur untuk TLS 1.0 dan TLS 1.1, App Service akan terus mendukung TLS 1.0 dan 1.1 untuk permintaan masuk ke aplikasi web Anda. Namun, karena versi TLS minimum default diatur ke TLS 1.2, Anda perlu memperbarui konfigurasi versi TLS minimum di aplikasi web Anda ke TLS 1.0 atau 1.1 sehingga permintaan tidak akan ditolak.
Penting
Permintaan masuk ke aplikasi web dan permintaan masuk ke Azure diperlakukan secara berbeda. App Service akan terus mendukung TLS 1.0 dan 1.1 untuk permintaan masuk ke aplikasi web. Untuk permintaan masuk langsung ke sarana kontrol Azure, misalnya melalui panggilan ARM atau API, tidak disarankan untuk menggunakan TLS 1.0 atau 1.1.
Rangkaian sandi TLS minimum (pratinjau)
Catatan
Cipher Suite TLS minimum didukung pada SKU Premium dan yang lebih tinggi pada App Service multi-penyewa.
Rangkaian sandi TLS minimum mencakup daftar tetap suite sandi dengan urutan prioritas optimal yang tidak dapat Anda ubah. Menyusun ulang atau memprioritaskan ulang suite sandi tidak disarankan karena dapat mengekspos aplikasi web Anda ke enkripsi yang lebih lemah. Anda juga tidak dapat menambahkan suite sandi baru atau berbeda ke daftar ini. Saat Anda memilih cipher suite minimum, sistem secara otomatis menonaktifkan semua suite sandi yang kurang aman untuk aplikasi web Anda, tanpa memungkinkan Anda untuk secara selektif menonaktifkan hanya beberapa suite sandi yang lebih lemah.
Apa itu cipher suite dan bagaimana cara kerjanya di App Service?
Rangkaian sandi adalah serangkaian instruksi yang berisi algoritma dan protokol untuk membantu mengamankan koneksi jaringan antara klien dan server. Secara default, OS front-end akan memilih cipher suite paling aman yang didukung oleh App Service dan klien. Namun, jika klien hanya mendukung suite sandi yang lemah, maka OS front-end akan akhirnya mengambil suite sandi lemah yang didukung oleh mereka berdua. Jika organisasi Anda memiliki batasan pada suite sandi apa yang seharusnya tidak diizinkan, Anda dapat memperbarui properti cipher suite TLS minimum aplikasi web Anda untuk memastikan bahwa suite sandi yang lemah akan dinonaktifkan untuk aplikasi web Anda.
App Service Environment (ASE) V3 dengan pengaturan kluster FrontEndSSLCipherSuiteOrder
Untuk Lingkungan App Service dengan FrontEndSSLCipherSuiteOrder pengaturan kluster, Anda perlu memperbarui pengaturan Anda untuk menyertakan dua suite sandi TLS 1.3 (TLS_AES_256_GCM_SHA384 dan TLS_AES_128_GCM_SHA256). Setelah diperbarui, mulai ulang front-end Anda agar perubahan diterapkan. Anda masih harus menyertakan dua suite sandi yang diperlukan seperti yang disebutkan dalam dokumen.
Enkripsi TLS end-to-end (pratinjau)
Enkripsi TLS end-to-end (E2E) tersedia dalam paket App Service Standar dan yang lebih tinggi. Lalu lintas intra-kluster front-end antara front-end App Service dan pekerja yang menjalankan beban kerja aplikasi sekarang dapat dienkripsi.