Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Application Gateway V2-SKU's kunnen worden uitgevoerd in een FIPS-modus (Federal Information Processing Standard) 140 goedgekeurde bewerkingsmodus, ook wel 'FIPS-modus' genoemd. Met de FIPS-modus ondersteunt Application Gateway cryptografische modules en gegevensversleuteling. De FIPS-modus roept een door FIPS 140-2 gevalideerde cryptografische module aan die ervoor zorgt dat FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening worden ingeschakeld.
Clouds en regio’s
| Wolk | Toestand | Standaardgedrag |
|---|---|---|
| Azure Government (Fairfax) | Ondersteund | Ingeschakeld voor implementaties via portal |
| Openbaar | Ondersteund | Disabled |
| Microsoft Azure beheerd door 21Vianet | Ondersteund | Disabled |
Omdat FIPS 140 verplicht is voor amerikaanse federale instanties, is de FIPS-modus standaard ingeschakeld in de Cloud van Azure Government (Fairfax). Klanten kunnen de FIPS-modus uitschakelen als ze verouderde clients hebben met oudere coderingssuites, maar dit wordt niet aanbevolen. Als onderdeel van de FedRAMP-naleving verplicht de Amerikaanse overheid dat systemen na augustus 2024 in een door FIPS goedgekeurde modus werken.
Voor de rest van de clouds moeten klanten zich aanmelden om de FIPS-modus in te schakelen.
FIPS-modusbewerking
Application Gateway maakt gebruik van een rolling upgradeproces om configuraties met de FIPS gevalideerde cryptografische module voor alle exemplaren te implementeren. De duur voor het in- of uitschakelen van de FIPS-modus kan variëren van 15 tot 60 minuten, afhankelijk van het aantal geconfigureerde of momenteel actieve exemplaren.
Belangrijk
De configuratiewijziging in de FIPS-modus kan tussen de 15 en 60 minuten duren, afhankelijk van het aantal exemplaren voor uw gateway.
Zodra deze optie is ingeschakeld, ondersteunt de gateway uitsluitend TLS-beleidsregels en coderingssuites die voldoen aan FIPS-standaarden. Daarom geeft de portal alleen de beperkte selectie van TLS-beleid weer (zowel vooraf gedefinieerd als aangepast).
Ondersteund TLS-beleid
Application Gateway biedt twee mechanismen voor het beheren van TLS-beleid. U kunt een vooraf gedefinieerd beleid of een aangepast beleid gebruiken. Ga naar het overzicht van TLS-beleid voor volledige details. Een Application Gateway-resource waarvoor FIPS is ingeschakeld, ondersteunt alleen het volgende beleid.
Vooraf gedefinieerd
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
Aangepaste V2
Versies
- TLS 1.3
- TLS 1.2
Coderingssuites
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Vanwege de beperkte compatibiliteit van TLS-beleid, selecteert het inschakelen van FIPS automatisch AppGwSslPolicy20220101 voor zowel SSL-beleid als SSL-profiel. Het kan later worden gewijzigd om andere FIPS-compatibele TLS-beleidsregels te gebruiken. Ter ondersteuning van oudere clients met andere niet-compatibele coderingssuites is het mogelijk om de FIPS-modus uit te schakelen, hoewel het niet wordt aanbevolen voor resources binnen het bereik van de FedRAMP-infrastructuur.
FIPS-modus inschakelen in V2 SKU
Azure-portal
Als u de instelling van de FIPS-modus wilt beheren via Azure Portal,
- Navigeer naar uw toepassingsgateway-resource.
- Open het blad Configuratie in het linker menuvenster.
- Zet de FIPS-modus schakelaar naar Ingeschakeld.
Volgende stappen
Informatie over het ondersteunde TLS-beleid in Application Gateway.