Application Gateway V2 SKU は、FIPS (Federal Information Processing Standard) 140 承認済みモードで実行できます。これは一般に"FIPS モード" と呼ばれます。FIPS モードでは、Application Gateway は暗号化モジュールとデータ暗号化をサポートします。 FIPS モードでは、FIPS 140-2 検証済み暗号化モジュールを呼び出します。これにより、暗号化、ハッシュ、署名に対して FIPS 準拠のアルゴリズムが有効になります。
クラウドとリージョン
| 雲 | ステータス | 既定の動作 |
|---|---|---|
| Azure Government (Fairfax) | サポートされています | ポータルを使用したデプロイに対して有効 |
| Public | サポートされています | Disabled |
| 21Vianet によって運営される Microsoft Azure | サポートされています | Disabled |
米国連邦政府機関では FIPS 140 が必須であるため、Application Gateway V2 は Azure Government (Fairfax) クラウドで既定で FIPS モードが有効になっています。 お客様は、古い暗号スイートを使用するレガシ クライアントがある場合は FIPS モードを無効にすることができますが、推奨されません。 FedRAMP コンプライアンスの一環として、米国政府は、システムが 2024 年 8 月以降に FIPS 承認モード で動作することを義務付けています。
残りのクラウドでは、FIPS モードを有効にすることを選択する必要があります。
FIPS モード操作
Application Gateway では、ローリング アップグレード プロセスを利用して、FIPS で検証された暗号化モジュールを含む構成をすべてのインスタンスに実装します。 FIPS モードを有効または無効にする期間は、構成済みまたは現在実行中のインスタンスの数に応じて、15 分から 60 分の範囲になる場合があります。
Important
FIPS モードの構成変更には、ゲートウェイのインスタンス数に応じて 15 ~ 60 分かかる場合があります。
有効にすると、ゲートウェイは FIPS 標準に準拠する TLS ポリシーと暗号スイートのみをサポートします。 そのため、ポータルには、TLS ポリシーの制限された選択 (定義済みとカスタムの両方) のみが表示されます。
サポートされている TLS ポリシー
Application Gateway には、TLS ポリシーを制御するための 2 つのメカニズムが用意されています。 定義済みポリシーまたはカスタム ポリシーを使用できます。 詳細については、 TLS ポリシーの概要を参照してください。 FIPS 対応 Application Gateway リソースでは、次のポリシーのみがサポートされます。
定義済み
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
カスタム V2
バージョン
- TLS 1.3
- TLS 1.2
暗号スイート
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS ポリシーの互換性が制限されているため、FIPS を有効にすると、"SSL ポリシー" と "SSL プロファイル" の両方に AppGwSslPolicy20220101 が自動的に選択されます。後で他の FIPS 準拠 TLS ポリシーを使用するように変更できます。 他の非準拠暗号スイートでレガシ クライアントをサポートするには、FIPS モードを無効にすることができますが、FedRAMP インフラストラクチャのスコープ内のリソースには推奨されません。
V2 SKU での FIPS モードの有効化
Azure Portal
Azure portal を使用して FIPS モードの設定を制御するには、
- アプリケーション ゲートウェイ リソースに移動します。
- 左側のメニュー ウィンドウで [構成] ブレードを開きます。
- FIPS モードの切り替えを "有効" に切り替えます。
次のステップ
Application Gateway でサポートされている TLS ポリシーについて説明します。