Overzicht van Application Gateway TLS-beleid

  • Artikel

U kunt Azure-toepassing Gateway gebruiken om TLS/SSL-certificaatbeheer te centraliseren en de overhead voor versleuteling en ontsleuteling van een back-endserverfarm te verminderen. Met deze gecentraliseerde TLS-verwerking kunt u ook een centraal TLS-beleid opgeven dat geschikt is voor de beveiligingsvereisten van uw organisatie. Dit helpt u te voldoen aan nalevingsvereisten, evenals beveiligingsrichtlijnen en aanbevolen procedures.

Het TLS-beleid omvat het beheer van de versie van het TLS-protocol, evenals de coderingssuites en de volgorde waarin coderingen worden gebruikt tijdens een TLS-handshake. Application Gateway biedt twee mechanismen voor het beheren van TLS-beleid. U kunt een vooraf gedefinieerd beleid of een aangepast beleid gebruiken.

Gebruiks- en versiedetails

  • SSL 2.0 en 3.0 zijn uitgeschakeld voor alle toepassingsgateways en kunnen niet worden geconfigureerd.
  • Met een aangepast TLS-beleid kunt u elk TLS-protocol selecteren als de minimale protocolversie voor uw gateway: TLSv1_0, TLSv1_1, TLSv1_2 of TLSv1_3.
  • Als er geen TLS-beleid is gekozen, wordt een standaard TLS-beleid toegepast op basis van de API-versie die wordt gebruikt om die resource te maken.
  • Het vooraf gedefinieerde en customv2-beleid 2022 dat TLS v1.3 ondersteunt, is alleen beschikbaar met Application Gateway V2-SKU's (Standard_v2 of WAF_v2).
  • Het gebruik van een vooraf gedefinieerd 2022- of Customv2-beleid verbetert de SSL-beveiliging en -prestaties van de gehele gateway (voor SSL-beleid en SSL-profiel). Daarom kunnen zowel oude als nieuwe beleidsregels niet naast elkaar bestaan op een gateway. U moet een van de oudere vooraf gedefinieerde of aangepaste beleidsregels in de gateway gebruiken als clients oudere TLS-versies of coderingen vereisen (bijvoorbeeld TLS v1.0).
  • TLS-coderingssuites die voor de verbinding worden gebruikt, zijn ook gebaseerd op het type certificaat dat wordt gebruikt. De coderingssuites die worden gebruikt in client-naar-toepassingsgatewayverbindingen, zijn gebaseerd op het type listenercertificaten op de toepassingsgateway. De coderingssuites die worden gebruikt bij het tot stand brengen van 'application gateway naar back-endpoolverbindingen' zijn gebaseerd op het type servercertificaten dat door de back-endservers wordt gepresenteerd.

Vooraf gedefinieerd TLS-beleid

Application Gateway biedt verschillende vooraf gedefinieerde beveiligingsbeleidsregels. U kunt uw gateway configureren met elk van deze beleidsregels om het juiste beveiligingsniveau te verkrijgen. De beleidsnamen worden geannoteerd door het jaar en de maand waarin ze zijn geconfigureerd (AppGwSslPolicy<JJJJMMDD>). Elk beleid biedt verschillende TLS-protocolversies en/of coderingssuites. Deze vooraf gedefinieerde beleidsregels worden geconfigureerd, rekening houdend met de best practices en aanbevelingen van het Microsoft-beveiligingsteam. U wordt aangeraden het nieuwste TLS-beleid te gebruiken om de beste TLS-beveiliging te garanderen.

In de volgende tabel ziet u de lijst met coderingssuites en ondersteuning voor minimale protocolversies voor elk vooraf gedefinieerd beleid. De volgorde van de coderingssuites bepaalt de prioriteitsvolgorde tijdens TLS-onderhandeling. Als u de exacte volgorde van de coderingssuites voor deze vooraf gedefinieerde beleidsregels wilt weten, kunt u verwijzen naar de blade PowerShell, CLI, REST API of listeners in de portal.

Vooraf gedefinieerde beleidsnamen (AppGwSslPolicy<JJJJMMDD>) 20150501 20170401 20170401S 20220101 20220101S
Minimale protocolversie 1.0 1.1 1.2 1.2 1.2
Ingeschakelde protocolversies 1.0
1.1
1.2		 1.1
1.2		 1.2 1.2
1.3		 1.2
1.3
Standaard Waar
(voor API-versie < 2023-02-01)		 Onwaar Onwaar Waar
(voor API-versie >= 2023-02-01)		 Onwaar
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Standaard TLS-beleid

Wanneer er geen specifiek SSL-beleid is opgegeven in de resourceconfiguratie van de toepassingsgateway, wordt een standaard-TLS-beleid toegepast. De selectie van dit standaardbeleid is gebaseerd op de API-versie die wordt gebruikt om die gateway te maken.

  • Voor API-versies 2023-02-01 of hoger is de minimale protocolversie ingesteld op 1.2 (versie tot 1.3 wordt ondersteund). De gateways die met deze API-versies zijn gemaakt, zien een alleen-lezen eigenschap defaultPredefinedSslPolicy:AppGwSslPolicy2020101 in de resourceconfiguratie. Deze eigenschap definieert het standaard TLS-beleid dat moet worden gebruikt.
  • Voor oudere API-versies < 2023-02-01 is de minimale protocolversie ingesteld op 1.0 (versies tot 1.2 worden ondersteund) omdat ze het vooraf gedefinieerde beleid AppGwSslPolicy20150501 als standaard gebruiken.

Als de standaard-TLS niet aan uw behoeften voldoet, kiest u een ander vooraf gedefinieerd beleid of gebruikt u een aangepast beleid.

Notitie

Ondersteuning voor Azure PowerShell en CLI voor het bijgewerkte standaard TLS-beleid is binnenkort beschikbaar.

Aangepast TLS-beleid

Als een TLS-beleid moet worden geconfigureerd voor uw vereisten, kunt u een aangepast TLS-beleid gebruiken. Met een aangepast TLS-beleid hebt u volledige controle over de minimale TLS-protocolversie die moet worden ondersteund, evenals de ondersteunde coderingssuites en hun prioriteitsvolgorde.

Notitie

De nieuwere, sterkere coderingen en TLSv1.3-ondersteuning zijn alleen beschikbaar met het CustomV2-beleid. Het biedt verbeterde beveiligings- en prestatievoordelen.

Belangrijk

  • Als u een aangepast SSL-beleid gebruikt in Application Gateway v1 SKU (Standard of WAF), moet u ervoor zorgen dat u de verplichte codering 'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256' toevoegt aan de lijst. Deze codering is vereist om metrische gegevens en logboekregistratie in te schakelen in de Application Gateway v1-SKU. Dit is niet verplicht voor Application Gateway v2 SKU (Standard_v2 of WAF_v2).
  • De coderingssuites "TLS_AES_128_GCM_SHA256" en "TLS_AES_256_GCM_SHA384" zijn verplicht voor TLSv1.3. U hoeft deze niet expliciet te vermelden wanneer u een CustomV2-beleid instelt met minimale protocolversie 1.2 of 1.3 via PowerShell of CLI. Deze coderingssuites worden daarom niet weergegeven in de uitvoer Get Details, met uitzondering van Portal.

Coderingssuites

Application Gateway ondersteunt de volgende coderingssuites waaruit u uw aangepaste beleid kunt kiezen. De volgorde van de coderingssuites bepaalt de prioriteitsvolgorde tijdens TLS-onderhandeling.

  • TLS_AES_128_GCM_SHA256 (alleen beschikbaar met Customv2)
  • TLS_AES_256_GCM_SHA384 (alleen beschikbaar met Customv2)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Beperkingen

  • De verbindingen met back-endservers zijn altijd met het minimale protocol TLS v1.0 en maximaal TLS v1.2. Daarom worden alleen TLS-versies 1.0, 1.1 en 1.2 ondersteund om een beveiligde verbinding met back-endservers tot stand te brengen.
  • Vanaf nu is de TLS 1.3-implementatie niet ingeschakeld met de functie Zero Round Trip Time (0-RTT).
  • Hervatting van TLS-sessies (ID of tickets) wordt niet ondersteund.
  • Application Gateway v2 biedt geen ondersteuning voor de volgende DHE-coderingen. Deze worden niet gebruikt voor de TLS-verbindingen met clients, ook al worden ze vermeld in het vooraf gedefinieerde beleid. In plaats van DHE-coderingen worden veilige en snellere ECDHE-coderingen aanbevolen.
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • Beperkte clients die op zoek zijn naar ondersteuning voor maximale fragmentlengte, moeten gebruikmaken van het nieuwere beleid voor 2022 vooraf gedefinieerde of Aangepastev2-beleidsregels.

Volgende stappen

Als u wilt weten hoe u een TLS-beleid configureert, raadpleegt u TLS-beleidsversies en coderingssuites configureren in Application Gateway.