Panoramica di TLS del servizio app di Azure
Nota
I clienti possono essere a conoscenza della notifica di ritiro di TLS 1.0 e 1.1 per le interazioni con i servizi di Azure. Questo ritiro non influisce sulle applicazioni in esecuzione su servizio app o Funzioni di Azure. Le applicazioni in servizio app o Funzioni di Azure configurate per accettare TLS 1.0 o TLS 1.1 per le richieste in ingresso continueranno a essere eseguite in modo non interessato.
Che cosa fa TLS nel servizio app?
Transport Layer Security (TLS) è un protocollo di sicurezza ampiamente adottato per proteggere le connessioni e le comunicazioni tra server e client. Il servizio app consente ai clienti di usare certificati TLS/SSL per proteggere le richieste in ingresso alle app Web. Il servizio app supporta attualmente diversi set di funzionalità TLS per consentire ai clienti di proteggere le app Web.
Suggerimento
È anche possibile porre queste domande a Azure Copilot:
- Quali versioni di TLS sono supportate nel servizio app?
- Quali sono i vantaggi dell'uso di TLS 1.3 rispetto alle versioni precedenti?
- Come è possibile modificare l'ordine della suite di crittografia per l'ambiente del servizio app?
Per trovare Copilot di Azure, nella barra degli strumenti del portale di Azure selezionare Copilot.
La versione TLS è supportata nel servizio app?
Per le richieste in ingresso all'app Web, il servizio app supporta TLS versioni 1.0, 1.1, 1.2 e 1.3.
Impostare la versione minima di TLS
Seguire questa procedura per modificare la versione minima di TLS della risorsa servizio app:
- Passare all'app nel portale di Azure
- Nel menu a sinistra selezionare configurazione e quindi selezionare la scheda Impostazioni generali.
- In Versione MINIMA TLS in ingresso, usando l'elenco a discesa, selezionare la versione desiderata.
- Seleziona Salva per salvare le modifiche.
Versione minima di TLS con Criteri di Azure
È possibile usare Criteri di Azure per controllare le risorse quando si tratta di una versione minima di TLS. È possibile fare riferimento alle app servizio app devono usare la definizione dei criteri di versione TLS più recente e modificare i valori alla versione minima di TLS desiderata. Per definizioni di criteri simili per altre risorse di servizio app, vedere Elenco di definizioni di criteri predefinite - Criteri di Azure per servizio app.
Versione minima di TLS e versione minima di TLS SCM
Il servizio app consente anche di impostare la versione minima di TLS per le richieste in ingresso all'app Web e al sito SCM. Per impostazione predefinita, la versione minima di TLS per le richieste in ingresso all'app Web e a SCM è impostata su 1.2 sia nel portale che nell'API.
TLS 1.3
Un'impostazione minima di TLS Cipher Suite è disponibile con TLS 1.3. Sono incluse due suite di crittografia all'inizio dell'ordine della suite di crittografia:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 e 1.1
TLS 1.0 e 1.1 sono considerati protocolli legacy e non sono più considerati sicuri. È in genere consigliabile per i clienti usare TLS 1.2 o versione successiva come versione minima di TLS. Quando si crea un'app Web, la versione minima predefinita di TLS è TLS 1.2.
Per garantire la compatibilità con le versioni precedenti per TLS 1.0 e TLS 1.1, il servizio app continuerà a supportare TLS 1.0 e 1.1 per le richieste in ingresso all'app Web. Tuttavia, poiché la versione minima predefinita di TLS è impostata su TLS 1.2, è necessario aggiornare le configurazioni minime della versione TLS nell'app Web a TLS 1.0 o 1.1 in modo che le richieste non vengano rifiutate.
Importante
Le richieste in ingresso alle app Web e alle richieste in ingresso ad Azure vengono trattate in modo diverso. Il servizio app continuerà a supportare TLS 1.0 e 1.1 per le richieste in ingresso alle app Web. Per le richieste in ingresso direttamente al piano di controllo di Azure, ad esempio tramite chiamate ARM o API, non è consigliabile usare TLS 1.0 o 1.1.
Suite di crittografia TLS minima (anteprima)
Nota
Tls Cipher Suite minimo è supportato in SKU Premium e versioni successive nel servizio app multi-tenant.
La suite di crittografia TLS minima include un elenco fisso di pacchetti di crittografia con un ordine di priorità ottimale che non è possibile modificare. Non è consigliabile riordinare o riordinare le suite di crittografia perché potrebbe esporre le app Web a una crittografia più debole. Non è inoltre possibile aggiungere pacchetti di crittografia nuovi o diversi a questo elenco. Quando si seleziona una suite di crittografia minima, il sistema disabilita automaticamente tutte le suite di crittografia meno sicure per l'app Web, senza consentire di disabilitare selettivamente solo alcune suite di crittografia più deboli.
Che cosa sono i pacchetti di crittografia e come funzionano nel servizio app?
Una suite di crittografia è un set di istruzioni che contiene algoritmi e protocolli per proteggere le connessioni di rete tra client e server. Per impostazione predefinita, il sistema operativo front-end sceglierebbe la suite di crittografia più sicura supportata sia dal servizio app che dal client. Tuttavia, se il client supporta solo suite di crittografia deboli, il sistema operativo del front-end finirà per raccogliere una suite di crittografia debole supportata da entrambi. Se l'organizzazione ha restrizioni sulle suite di crittografia non consentite, è possibile aggiornare la proprietà minima della suite di crittografia TLS dell'app Web per assicurarsi che le suite di crittografia vulnerabili vengano disabilitate per l'app Web.
Ambiente del servizio app V3 con impostazione del cluster FrontEndSSLCipherSuiteOrder
Per gli ambienti del servizio app con l'impostazione del cluster FrontEndSSLCipherSuiteOrder, è necessario aggiornare le impostazioni per includere due suite di crittografia TLS 1.3 (TLS_AES_256_GCM_SHA384 e TLS_AES_128_GCM_SHA256). Dopo l'aggiornamento, riavviare il front-end per rendere effettiva la modifica. È comunque necessario includere le due suite di crittografia necessarie, come indicato nella documentazione.
Crittografia TLS end-to-end (anteprima)
La crittografia TLS end-to-end (E2E) è disponibile nei piani di servizio app Standard e versioni successive. Il traffico front-end all'interno del cluster tra front-end del servizio app e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione possono ora essere crittografati.