Azure App Service TLS の概要
Note
お客様は、Azure サービスとの対話での TLS 1.0 と 1.1 の提供終了通知にお気づきかと思います。 この提供終了により、App Service または Azure Functions で実行されているアプリケーションへの影響はありません。 着信要求で TLS 1.0 または TLS 1.1 を受け入れるように構成されている App Service または Azure Functions 上のアプリケーションは、影響を受けずに実行し続けます。
App Service 内での TLS の機能
トランスポート層セキュリティ (TLS) は、サーバーとクライアント間の接続と通信をセキュリティで保護するために設計された、広く採用されているセキュリティ プロトコルです。 App Service を使用すると、顧客は TLS/SSL 証明書を使用して、Web アプリへの受信要求をセキュリティで保護することができます。 App Service では現在、顧客が Web アプリをセキュリティで保護するための、さまざまな TLS 機能のセットがサポートされています。
ヒント
Azure Copilot に次の質問をすることもできます。
- App Service でサポートされている TLS のバージョンは何ですか?
- 以前のバージョンよりも TLS 1.3 を使用する利点は何ですか?
- App Service Environment の暗号スイートの順序を変更するにはどうすればよいですか?
Azure Copilot を見つけるには、Azure portal のツール バーで、[Copilot] を選択します。
App Service 上でサポートされている TLS バージョン
ご利用の Web アプリへの受信要求の場合、App Service では TLS バージョン 1.0、1.1、1.2、1.3 をサポートします。
TLS の最小バージョンを設定する
App Service リソースの最小 TLS バージョンを変更するには、次の手順のようにします。
- Azure portal でアプリを参照します
- 左側のメニューで、[構成] を選択し、[全般設定] タブを選択します。
- [最小の受信 TLS バージョン] で、ドロップダウンを使って目的のバージョンを選びます。
- [保存] を選択して変更を保存します。
Azure Policy での最小 TLS バージョン
Azure Policy を使って、リソースで TLS の最小バージョンに関する監査を行うことができます。 「App Service アプリは最新の TLS バージョンを使用する必要があります」ポリシー定義を参照して、必要な最小 TLS バージョンに値を変更できます。 他の App Service リソースに対する同様のポリシー定義については、Azure Policy での App Service の組み込みポリシー定義の一覧に関する記事をご覧ください。
最小 TLS バージョンと SCM 最小 TLS バージョン
App Service では、ご利用の Web アプリと SCM サイトへの受信要求に対して、TLS の最小バージョンを設定することもできます。 既定では、ご利用の Web アプリと SCM への受信要求の最小 TLS バージョンは、ポータルと API の両方で 1.2 に設定されます。
TLS 1.3
最小 TLS 暗号スイートの設定は、TLS 1.3 で使用できます。 これは、暗号スイートの順序の先頭に 2 つの暗号スイートを含みます。
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 および 1.1
TLS 1.0 と 1.1 はレガシ プロトコルと見なされ、安全とは見なされなくなりました。 通常、お客様には、最小 TLS バージョンとして TLS 1.2 またはそれ以上の使用をお勧めします。 Web アプリを作成する場合、既定の最小 TLS バージョンは TLS 1.2 です。
TLS 1.0 と TLS 1.1 への下位互換性を確保するために、App Service はご利用の Web アプリへの受信要求に対して、引き続き TLS 1.0 と 1.1 をサポートします。 ただし、既定の最小 TLS バージョンは TLS 1.2 に設定されているため、要求が拒否されないように、ご利用の Web アプリ上の最小 TLS バージョン構成を、TLS 1.0 または 1.1 に更新する必要があります。
重要
Web アプリへの受信要求と Azure への受信要求は、異なる方法で処理されます。 App Service では、Web アプリへの受信要求に対して TLS 1.0 と 1.1 が引き続きサポートされます。 Azure コントロール プレーンに対する直接の受信要求 (たとえば ARM または API 通話を経由して) の場合、TLS 1.0 または 1.1 を使用することはお勧めしません。
最小 TLS 暗号スイート (プレビュー)
Note
最小 TLS 暗号スイートは、マルチテナント App Service の Premium SKU 以上でサポートされています。
最小 TLS 暗号スイートには、変更できない最適な優先順位を持つ暗号スイートの固定リストが含まれています。 Web アプリの暗号化が弱い可能性があるため、暗号スイートの並べ替えや優先順位の付け直しはお勧めしません。 この一覧に新しい暗号スイートまたは異なる暗号スイートを追加することもできません。 最小暗号スイートを選択すると、システムでは、Web アプリの安全性の低い暗号スイートをすべて自動的に無効になります。一部の脆弱な暗号スイートのみを選択的に無効にすることはできません。
暗号スイートとは何ですか。また、App Service ではどのように機能しますか?
暗号スイートは、クライアントとサーバー間のネットワーク接続をセキュリティで保護するために役立つアルゴリズムとプロトコルを含む一連の命令です。 既定では、フロントエンドの OS により、App Service とクライアントの両方でサポートされている最も安全な暗号スイートが選択されます。 ただし、クライアントが弱い暗号スイートのみをサポートしている場合、フロントエンドの OS は、両方でサポートされている弱い暗号スイートを選択することになります。 お客様の組織で、許可されない暗号スイートに関する制限事項がある場合、Web アプリの最小 TLS 暗号スイート プロパティを更新して、Web アプリで弱い暗号スイートを無効にすることができます。
クラスター設定 FrontEndSSLCipherSuiteOrder がある App Service Environment (ASE) V3
FrontEndSSLCipherSuiteOrder クラスター設定がある App Service Environment の場合は、2 つの TLS 1.3 暗号スイート (TLS_AES_256_GCM_SHA384 と TLS_AES_128_GCM_SHA256) を含むように設定を更新する必要があります。 更新が完了したら、変更を有効にするためにフロントエンドを再起動します。 ドキュメントで説明されているように、引き続き、必要な 2 つの暗号スイートを含める必要があります。
エンド ツー エンド TLS 暗号化 (プレビュー)
エンド ツー エンド (E2E) TLS 暗号化は、Standard App Service プラン以降で使用できます。 App Service フロントエンドとアプリケーション ワークロードを実行しているワーカーの間のフロントエンド クラスター内トラフィックを暗号化できるようになりました。