TLS end-to-end dengan Azure Front Door

Keamanan Lapisan Transportasi (TLS), yang sebelumnya dikenal sebagai Secure Sockets Layer (SSL), adalah teknologi keamanan standar untuk membuat tautan terenkripsi antara server web dan klien, seperti browser web. Tautan ini memastikan bahwa semua data yang diteruskan antara server dan klien tetap privat dan terenkripsi.

Untuk memenuhi persyaratan keamanan atau kepatuhan Anda, Azure Front Door mendukung enkripsi TLS end-to-end. Offload Front Door TLS/SSL mengakhiri koneksi TLS, mendekripsi lalu lintas di Azure Front Door, dan mengenkripsi ulang lalu lintas sebelum meneruskannya ke asal. Saat koneksi ke asal menggunakan alamat IP publik asal, ini adalah praktik keamanan yang baik untuk mengonfigurasi HTTPS sebagai protokol penerusan di Azure Front Door Anda. Dengan menggunakan HTTPS sebagai protokol penerusan, Anda dapat menerapkan enkripsi TLS end-to-end untuk seluruh pemrosesan permintaan dari klien ke asal. Offload TLS/SSL juga didukung jika Anda menyebarkan asal privat dengan Azure Front Door Premium menggunakan fitur Private Link .

Artikel ini menjelaskan cara kerja Azure Front Door dengan koneksi TLS. Untuk informasi selengkapnya tentang cara menggunakan sertifikat TLS dengan domain kustom Anda sendiri, lihat HTTPS untuk domain kustom. Untuk mempelajari cara mengonfigurasi sertifikat TLS di domain kustom Anda sendiri, lihat Mengonfigurasi domain kustom di Azure Front Door menggunakan portal Azure.

Enkripsi TLS end-to-end

TLS end-to-end memungkinkan Anda mengamankan data sensitif saat transit ke asal sambil memanfaatkan fitur Azure Front Door seperti penyeimbangan beban global dan penembolokan. Beberapa fitur juga termasuk perutean berbasis URL, pemisahan TCP, penembolokan di lokasi edge yang paling dekat dengan klien, dan menyesuaikan permintaan HTTP di edge.

Azure Front Door membongkar sesi TLS di edge dan mendekripsi permintaan klien. Kemudian menerapkan aturan perutean yang dikonfigurasi untuk merutekan permintaan ke asal yang sesuai di grup asal. Azure Front Door kemudian memulai koneksi TLS baru ke asal dan mengenkripsi ulang semua data menggunakan sertifikat asal sebelum mengirimkan permintaan ke asal. Setiap respons dari asal dienkripsi melalui proses yang sama kembali ke pengguna akhir. Anda dapat mengonfigurasi Azure Front Door untuk menggunakan HTTPS sebagai protokol penerusan untuk mengaktifkan TLS end-to-end.

Versi TLS yang didukung

Azure Front Door mendukung empat versi protokol TLS: TLS versi 1.0, 1.1, 1.2 dan 1.3. Semua profil Azure Front Door yang dibuat setelah September 2019 menggunakan TLS 1.2 sebagai minimum default dengan TLS 1.3 diaktifkan, tetapi TLS 1.0 dan TLS 1.1 masih didukung untuk kompatibilitas mundur.

Meskipun Azure Front Door mendukung TLS 1.2, yang memperkenalkan autentikasi klien/timah di RFC 5246, saat ini, Azure Front Door belum mendukung autentikasi klien/timah (mTLS).

Anda dapat mengonfigurasi versi TLS minimum di Azure Front Door di setelan HTTPS domain kustom menggunakan portal Azure atau Azure REST API. Saat ini, Anda dapat memilih antara 1.0 dan 1.2. Dengan demikian, menentukan TLS 1.2 sebagai versi minimum mengontrol versi TLS minimum yang dapat diterima Azure Front Door yang akan diterima dari klien. Untuk TLS minimum versi 1.2, negosiasi akan mencoba menetapkan TLS 1.3 dan kemudian TLS 1.2, sementara untuk TLS minimum versi 1.0 keempat versi akan dicoba. Ketika Azure Front Door memulai lalu lintas TLS ke asal, Azure Front Door akan mencoba menegosiasikan versi TLS terbaik yang dapat diterima asal dengan andal dan konsisten. Versi TLS yang didukung untuk koneksi asal adalah TLS 1.0, TLS 1.1, TLS 1.2 dan TLS 1.3.

Catatan

• Klien dengan TLS 1.3 yang diaktifkan diperlukan untuk mendukung salah satu Kurva EC yang mematuhi Microsoft SDL, termasuk Secp384r1, Secp256r1, dan Secp521, agar berhasil membuat permintaan dengan Azure Front Door menggunakan TLS 1.3.
• Disarankan agar klien menggunakan salah satu kurva ini sebagai kurva pilihan mereka selama permintaan untuk menghindari peningkatan latensi jabat tangan TLS, yang dapat dihasilkan dari beberapa perjalanan pulang pergi untuk menegosiasikan kurva EC yang didukung.

Sertifikat yang didukung

Saat membuat sertifikat TLS/SSL, Anda harus membuat rantai sertifikat lengkap dengan Otoritas Sertifikat (CA) yang diizinkan yang merupakan bagian dari Daftar CA Tepercaya Microsoft. Jika Anda menggunakan CA yang tidak diizinkan, permintaan Anda akan ditolak.

Sertifikat dari CA internal atau sertifikat yang ditandatangani sendiri tidak diizinkan.

Pengaitan Protokol Status Sertifikat Online (OCSP)

Pengaitan OCSP didukung secara default di Azure Front Door dan tidak diperlukan konfigurasi.

Koneksi TLS asal (Azure Front Door ke asal)

Untuk koneksi HTTPS, Azure Front Door mengharapkan bahwa asal Anda menyajikan sertifikat dari otoritas sertifikat (CA) yang valid dengan nama subjek yang cocok dengan nama host asal. Sebagai contoh, jika nama host asal Anda diatur ke myapp-centralus.contosonews.net dan sertifikat yang disajikan asal Anda selama jabat tangan TLS tidak memiliki myapp-centralus.contosonews.net atau *.contosonews.net dalam nama subjek, maka Azure Front Door menolak koneksi dan klien melihat kesalahan.

Catatan

Sertifikat harus memiliki rantai sertifikat lengkap dengan sertifikat daun dan menengah. CA root harus menjadi bagian dari Daftar CA Tepercaya Microsoft. Jika sertifikat tanpa rantai lengkap disajikan, permintaan yang melibatkan sertifikat tersebut tidak dijamin berfungsi seperti yang diharapkan.

Dalam kasus penggunaan tertentu seperti untuk pengujian, sebagai solusi untuk mengatasi koneksi HTTPS yang gagal, Anda dapat menonaktifkan pemeriksaan nama subjek sertifikat untuk Azure Front Door Anda. Perhatikan bahwa asal masih perlu menunjukkan sertifikat dengan rantai tepercaya yang valid, tetapi tidak harus cocok dengan nama host asal.

Di Azure Front Door Standard dan Premium, Anda dapat mengonfigurasi asal untuk menonaktifkan pemeriksaan nama subjek sertifikat.

Di Azure Front Door (klasik), Anda dapat menonaktifkan pemeriksaan nama subjek sertifikat dengan mengubah pengaturan Azure Front Door di portal Azure. Anda juga dapat mengonfigurasi pemeriksaan dengan menggunakan pengaturan kumpulan backend di API Azure Front Door.

Catatan

Dari sudut depan keamanan, Microsoft tidak menyarankan untuk menonaktifkan pemeriksaan nama subjek sertifikat.

Koneksi TLS ujung depan (klien ke Azure Front Door)

Guna mengaktifkan protokol HTTPS untuk pengiriman konten yang aman di domain kustom Azure Front Door, Anda dapat memilih untuk menggunakan sertifikat yang dikelola oleh Azure Front Door atau menggunakan sertifikat Anda sendiri.

Untuk informasi selengkapnya, lihat HTTPS untuk domain kustom.

Sertifikat terkelola Azure Front Door menyediakan sertifikat TLS/SSL standar melalui DigiCert dan disimpan di Key Vault Azure Front Door.

Jika memilih untuk menggunakan sertifikat Anda sendiri, Anda dapat menyetorkan sertifikat dari CA yang didukung yang dapat berupa TLS standar, sertifikat validasi yang diperluas, atau bahkan sertifikat kartubebas. Sertifikat yang ditandatangani sendiri tidak didukung. Pelajari cara mengaktifkan HTTPS untuk domain kustom.

Autorotasi sertifikat

Untuk opsi sertifikat yang dikelola Azure Front Door, sertifikat akan dikelola dan dirotasi otomatis dalam waktu 90 hari setelah waktu kedaluwarsa oleh Azure Front Door. Untuk opsi sertifikat yang dikelola Azure Front Door Standard/Premium, sertifikat akan dikelola dan dirotasi otomatis dalam waktu 45 hari setelah waktu kedaluwarsa oleh Azure Front Door. Jika Anda menggunakan sertifikat yang dikelola Azure Front Door dan melihat bahwa tanggal kedaluwarsa sertifikat kurang dari 60 hari lagi atau 30 hari untuk SKU Standar/Premium, ajukan tiket dukungan.

Untuk sertifikat TLS/SSL kustom Anda sendiri:

1. Anda mengatur versi rahasia ke 'Terbaru' agar sertifikat diubah secara otomatis ke versi terbaru saat versi sertifikat yang lebih baru tersedia di brankas kunci. Untuk sertifikat kustom, sertifikat akan diputar secara otomatis dalam 3-4 hari dengan versi sertifikat yang lebih baru, apa pun waktu kedaluwarsa sertifikat.

2. Jika versi tertentu dipilih, perubahan otomatis tidak didukung. Anda harus memilih ulang versi baru secara manual untuk mengubah sertifikat. Diperlukan waktu hingga 24 jam agar versi baru sertifikat/rahasia dapat digunakan.

   Catatan

   Sertifikat terkelola Azure Front Door (Standar dan Premium) secara otomatis diputar jika data CNAME domain menunjuk langsung ke titik akhir Front Door atau titik akhir Traffic Manager secara tidak langsung. Jika tidak, Anda perlu memvalidasi ulang kepemilikan domain untuk memutar sertifikat.

   Anda harus memastikan bahwa perwakilan layanan untuk Front Door memiliki akses ke brankas kunci. Lihat cara memberikan akses ke brankas kunci Anda. Operasi peluncuran sertifikat yang diperbarui oleh Azure Front Door tidak akan menyebabkan waktu henti produksi apa pun, selama nama subjek atau nama alternatif subjek (SAN) untuk sertifikat tidak berubah.

Suite cipher yang didukung

Untuk TLS 1.2/1.3, suite sandi berikut didukung:

• TLS_AES_256_GCM_SHA384 (hanya TLS 1.3)
• TLS_AES_128_GCM_SHA256 (hanya TLS 1.3)
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Catatan

Untuk Windows 10 dan versi yang lebih baru, sebaiknya aktifkan satu atau kedua suite sandi ECDHE_GCM untuk keamanan yang lebih baik. Windows 8.1, 8, dan 7 tidak kompatibel dengan suite sandi ECDHE_GCM ini. Suite sandi ECDHE_CBC dan DHE telah disediakan untuk kompatibilitas dengan sistem operasi tersebut.

Saat menggunakan domain kustom dengan TLS 1.0 dan 1.1 diaktifkan, suite sandi berikut didukung:

• TLS_AES_256_GCM_SHA384 (hanya TLS 1.3)
• TLS_AES_128_GCM_SHA256 (hanya TLS 1.3)
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Azure Front Door tidak mendukung penonaktifan atau konfigurasi cipher suite tertentu untuk profil Anda.

Langkah berikutnya

• Memahami domain kustom di Azure Front Door.
• Konfigurasikan domain kustom di Azure Front Door menggunakan portal Azure.
• Pelajari tentang TLS End-to-end dengan Azure Front Door.

• Konfigurasikan domain kustom untuk Azure Front Door.
• Aktifkan HTTPS untuk domain kustom.