Keamanan lapisan transportasi di Azure HDInsight
Keamanan Lapisan Transportasi (TLS) adalah protokol enkripsi yang menjaga keamanan data saat ditransfer melalui jaringan. Pemulihan Situs Azure menggunakan TLS untuk melindungi privasi data yang sedang ditransfer. Azure Site Recovery sekarang menggunakan protokol TLS 1.2, untuk meningkatkan keamanan.
Aktifkan TLS pada versi Windows yang lebih lama
Jika mesin menjalankan versi Windows yang lebih lama, pastikan untuk menginstal pembaruan yang sesuai sebagaimana dirinci di bawah ini dan buat perubahan registri seperti yang didokumentasikan dalam artikel KB masing-masing.
| Sistem operasi | Artikel KB |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Catatan
Pembaruan menginstal komponen yang diperlukan untuk protokol. Setelah instalasi, untuk mengaktifkan protokol yang diperlukan, pastikan untuk memperbarui kunci registri seperti yang disebutkan dalam artikel KB di atas.
Verifikasi registri Windows
Mengonfigurasi protokol SChannel
Kunci registri berikut memastikan bahwa protokol TLS 1.2 diaktifkan di tingkat komponen SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Catatan
Secara default, kunci registri di atas diatur dalam nilai yang ditampilkan diatur dalam Windows Server 2012 R2 dan versi yang lebih baru. Untuk versi Windows ini, jika kunci registri tidak ada, Anda tidak perlu membuatnya.
Konfigurasikan .NET Framework
Gunakan kunci registri berikut untuk mengonfigurasi .NET Framework yang mendukung kriptografi yang kuat. Anda dapat membaca lebih lanjut tentang mengonfigurasi .NET Framework di sini.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
Catatan
Jika kunci registri tidak ada, Anda tidak perlu membuatnya untuk Windows Server 2012 R2 atau versi yang lebih baru jika TLS 1.2 diaktifkan dalam protokol SChannel.
Tanya jawab umum
Mengapa mengaktifkan TLS 1.2?
TLS 1.2 lebih aman daripada protokol kriptografi sebelumnya seperti SSL 2.0, SSL 3.0, TLS 1.0, dan TLS 1.1. Semua layanan Azure mendukung penuh TLS 1.2.
Apa yang menentukan protokol enkripsi digunakan?
Versi protokol tertinggi yang didukung oleh klien dan server dinegosiasikan untuk membuat percakapan terenkripsi. Untuk informasi selengkapnya tentang protokol jabat tangan TLS, lihat Membuat Sesi Aman menggunakan TLS.
Apa dampaknya jika TLS 1.2 tidak diaktifkan?
Untuk meningkatkan keamanan dari serangan turun tingkat protokol, Azure Backup mulai menonaktifkan versi TLS yang lebih lama dari 1.2 secara bertahap. Ini adalah bagian dari pergeseran jangka panjang di seluruh layanan untuk melarang protokol warisan dan koneksi cipher suite. Layanan dan komponen Azure Backup mendukung penuh TLS 1.2. Namun, versi Windows yang tidak memiliki pembaruan yang diperlukan atau konfigurasi sesuai masih dapat mencegah protokol TLS 1.2 ditawarkan. Ini dapat menyebabkan kegagalan, tetapi tidak terbatas pada satu atau beberapa hal berikut:
- Replikasi mungkin gagal pada sumbernya.
- Kegagalan koneksi komponen cadangan dengan kesalahan 10054 (Koneksi yang ada ditutup secara paksa oleh host jarak jauh).
- Layanan yang terkait dengan Azure Backup tidak akan berhenti atau dimulai seperti biasa.