Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
SKU Application Gateway V2 dapat berjalan dalam mode operasi FIPS (Federal Information Processing Standard) 140 yang disetujui, yang biasanya disebut sebagai "mode FIPS." Dengan mode FIPS, Application Gateway mendukung modul kriptografi dan enkripsi data. Mode FIPS memanggil modul kriptografi tervalidasi FIPS 140-2 yang memastikan algoritma yang sesuai dengan FIPS untuk enkripsi, hash, dan penandatanganan saat diaktifkan.
Awan dan Wilayah
| Cloud | Kedudukan | Perilaku bawaan |
|---|---|---|
| Azure Government (Fairfax) | Didukung | Diaktifkan untuk penyebaran melalui Portal |
| Umum | Didukung | Disabled |
| Microsoft Azure dioperasikan oleh 21Vianet | Didukung | Disabled |
Karena FIPS 140 wajib untuk lembaga federal AS, Application Gateway V2 memiliki mode FIPS yang diaktifkan secara default di cloud Azure Government (Fairfax). Pelanggan dapat menonaktifkan mode FIPS jika mereka memiliki klien lama yang menggunakan cipher suite lama, meskipun tidak disarankan. Sebagai bagian dari kepatuhan FedRAMP, Pemerintah AS mengamanatkan bahwa sistem beroperasi dalam mode yang disetujui FIPS setelah Agustus 2024.
Untuk cloud lainnya, pelanggan harus ikut serta untuk mengaktifkan mode FIPS.
Operasi mode FIPS
Application Gateway menggunakan proses peningkatan bergulir untuk menerapkan konfigurasi dengan modul kriptografi tervalidasi FIPS di semua instans. Durasi untuk mengaktifkan atau menonaktifkan mode FIPS dapat berkisar antara 15 hingga 60 menit, tergantung pada jumlah instans yang dikonfigurasi atau saat ini berjalan.
Penting
Perubahan konfigurasi mode FIPS dapat memakan waktu antara 15 hingga 60 menit tergantung pada jumlah instans untuk gateway Anda.
Setelah diaktifkan, gateway secara eksklusif mendukung kebijakan TLS dan cipher suite yang mematuhi standar FIPS. Akibatnya, portal hanya menampilkan pilihan kebijakan TLS yang dibatasi (baik Yang Telah Ditentukan maupun Kustom).
Kebijakan TLS yang didukung
Application Gateway menawarkan dua mekanisme untuk mengontrol kebijakan TLS. Anda dapat menggunakan kebijakan yang telah ditentukan sebelumnya atau kebijakan Kustom. Untuk detail lengkapnya, kunjungi Gambaran umum kebijakan TLS. Sumber daya Application Gateway dengan dukungan FIPS hanya mendukung kebijakan berikut.
Ditentukan sebelumnya
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
Kustom V2
Versi
- TLS 1.3
- TLS 1.2
Cipher suites
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Karena kompatibilitas kebijakan TLS yang dibatasi, mengaktifkan FIPS secara otomatis memilih AppGwSslPolicy20220101 untuk "Kebijakan SSL" dan "Profil SSL." Ini dapat dimodifikasi untuk menggunakan kebijakan TLS lain yang mematuhi FIPS nanti. Untuk mendukung klien lama dengan suite sandi lain yang tidak patuh, dimungkinkan untuk menonaktifkan mode FIPS, meskipun tidak disarankan penggunaannya untuk sumber daya yang berada dalam cakupan infrastruktur FedRAMP.
Mengaktifkan mode FIPS di SKU V2
Portal Azure
Untuk mengontrol pengaturan mode FIPS melalui portal Microsoft Azure,
- Navigasikan ke sumber daya gateway aplikasi Anda.
- Buka bilah Konfigurasi di panel menu kiri.
- Alihkan tombol mode FIPS ke "Diaktifkan".
Langkah selanjutnya
Ketahui tentang kebijakan TLS yang didukung di Application Gateway.