Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Wycofanie protokołów TLS 1.1 i TLS 1.0 w usługach platformy Azure nie ma wpływu na aplikacje działające w usłudze Azure App Service, Azure Functions lub Azure Logic Apps (Standard). Aplikacje w usłudze App Service, usłudze Azure Functions lub Logic Apps (Standard), które są skonfigurowane do akceptowania protokołu TLS 1.1 lub TLS 1.0 dla żądań przychodzących, nadal działają bez zakłóceń.
Transport Layer Security (TLS) to powszechnie przyjęty protokół zabezpieczeń, który jest przeznaczony do zabezpieczania połączeń i komunikacji między serwerami i klientami. W usłudze Azure App Service można używać certyfikatów TLS i Secure Sockets Layer (SSL), aby ułatwić zabezpieczanie żądań przychodzących w aplikacjach internetowych.
Usługa App Service obsługuje protokół TLS, aby zapewnić:
- Szyfrowanie danych przesyłanych.
- Uwierzytelnianie aplikacji internetowych przy użyciu zaufanych certyfikatów.
- Integralność, aby zapobiec manipulowaniu danymi podczas przesyłania.
Napiwek
W portalu Azure możesz również zadać Azure Copilot, asystentowi opartemu na sztucznej inteligencji, następujące pytania:
- Jakie wersje protokołu TLS są obsługiwane w usłudze App Service?
- Jakie są zalety korzystania z protokołu TLS 1.3 zamiast wcześniejszych wersji?
- Jak mogę zmienić kolejność zestawu szyfrowania dla mojego środowiska App Service Environment?
W nagłówku strony portalu Azurewybierz pozycję Copilot.
Obsługa wersji protokołu TLS
Usługa Azure App Service obsługuje następujące wersje protokołu TLS dla żądań przychodzących do aplikacji internetowej:
- TLS 1.3: najnowsza i najbezpieczniejsza wersja, teraz w pełni obsługiwana.
- TLS 1.2: domyślna minimalna wersja protokołu TLS dla nowych aplikacji internetowych.
- Protokoły TLS 1.1 i TLS 1.0: wersje obsługiwane w celu zapewnienia zgodności z poprzednimi wersjami, ale nie są zalecane.
Możesz skonfigurować minimalną wersję protokołu TLS dla żądań przychodzących do aplikacji internetowej i witryny Menedżera kontroli źródła (SCM). Domyślnie wartość minimalna jest ustawiona na tls 1.2.
Możesz użyć usługi Azure Policy, aby ułatwić inspekcję zasobów i minimalnej wersji protokołu TLS. Przejdź do , aby aplikacje usługi App Service używały najnowszej definicji zasad wersji TLS i zmień wartości na minimalną wersję protokołu TLS, której chcesz używać w aplikacjach internetowych. Aby uzyskać powiązane definicje zasad dla innych zasobów usługi App Service, zobacz Lista wbudowanych definicji zasad — Azure Policy for App Service.
Protokół TLS 1.3
Protokół TLS 1.3 jest w pełni obsługiwany w usłudze App Service i wprowadza kilka ulepszeń protokołu TLS 1.2:
- Zwiększone zabezpieczenia dzięki uproszczonym szyfrom i utajnianiu przyszłych komunikatów.
- Szybsze podawanie ręki dla zmniejszenia opóźnienia.
- Zaszyfrowane wiadomości uzgadniania dla dodatkowej ochrony prywatności.
Aby wymagać TLS 1.3 dla wszystkich żądań przychodzących, ustaw Minimalną Wersję TLS dla Ruchu Przychodzącego na TLS 1.3 w Azure Portal, Azure CLI lub w szablonie Azure Resource Manager (szablonie ARM).
Protokół TLS 1.3 obsługuje następujące zestawy szyfrowania, które są stałe i nie można ich dostosować:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Te pakiety zapewniają silne szyfrowanie i są automatycznie używane podczas negocjowania protokołu TLS 1.3.
TLS 1.2
Protokół TLS 1.2 to domyślna wersja protokołu TLS dla usługi App Service. Zapewnia silne szyfrowanie i szeroką zgodność, spełniając standardy zgodności, takie jak Payment Card Industry Data Security Standard (PCI DSS). Nowe aplikacje internetowe i punkty końcowe SCM domyślnie używają protokołu TLS 1.2, chyba że zostaną zmienione.
Usługa Azure App Service używa bezpiecznego zestawu szyfrowania TLS 1.2, aby zapewnić zaszyfrowane połączenia i chronić przed znanymi lukami w zabezpieczeniach. Mimo że w celu zapewnienia zgodności z poprzednimi wersjami można włączyć protokoły TLS 1.1 i TLS 1.0, zalecamy użycie minimalnej wersji protokołu TLS 1.2.
Protokoły TLS 1.1 i TLS 1.0
Protokoły TLS 1.1 i TLS 1.0 są uznawane za starsze i nie są już uważane za bezpieczne. Te wersje są obsługiwane w usłudze App Service tylko w celu zapewnienia zgodności z poprzednimi wersjami i należy unikać ich, jeśli jest to możliwe. Domyślna minimalna wersja protokołu TLS dla nowych aplikacji to TLS 1.2 i zalecamy migrację aplikacji korzystających z protokołu TLS 1.1 lub TLS 1.0.
Ważne
Żądania przychodzące do aplikacji internetowych i żądań przychodzących do platformy Azure są obsługiwane inaczej. Usługa App Service nadal obsługuje protokoły TLS 1.1 i TLS 1.0 dla żądań przychodzących do aplikacji internetowych.
W przypadku żądań przychodzących wysyłanych bezpośrednio do płaszczyzny sterowania platformy Azure, na przykład za pośrednictwem usługi Azure Resource Manager lub wywołań interfejsu API, zalecamy, aby nie używać protokołu TLS 1.1 ani TLS 1.0.
Minimalny zestaw szyfrowania TLS
Uwaga
Ustawienie minimalnego pakietu szyfrowania TLS jest obsługiwane w przypadku podstawowych jednostek SKU lub wyższych w wielodostępnej usłudze App Service.
Minimalny zestaw szyfrowania TLS zawiera stałą listę zestawów szyfrowania z optymalną kolejnością priorytetu, której nie można zmienić. Zmiana kolejności lub priorytetów pakietów szyfrowych nie jest zalecana, ponieważ może to narażać aplikacje internetowe na słabsze szyfrowanie. Nie można również dodawać nowych ani różnych zestawów szyfrowania do tej listy. Po wybraniu minimalnego zestawu szyfrowania system automatycznie wyłącza wszystkie mniej bezpieczne zestawy szyfrowania protokołów dla aplikacji sieciowej. Nie można selektywnie wyłączyć tylko niektórych słabszych zestawów szyfrowania.
Co to są zestawy szyfrowania i jak działają w usłudze App Service?
Zestaw szyfrowania to zestaw instrukcji, które zawierają algorytmy i protokoły ułatwiające zabezpieczanie połączeń sieciowych między klientami i serwerami. Domyślnie przedni system operacyjny wybiera najbezpieczniejszy pakiet szyfrowania, który obsługują zarówno App Service, jak i klient. Jednak jeśli klient obsługuje tylko słabe zestawy szyfrów, system operacyjny front-endu może wybrać słaby zestaw szyfrów. Jeśli Twoja organizacja ma ograniczenia dotyczące dozwolonych zestawów szyfrowania, możesz zaktualizować minimalną właściwość pakietu szyfrowania TLS aplikacji internetowej, aby upewnić się, że słabe zestawy szyfrowania są wyłączone dla aplikacji internetowej.
Środowisko usługi aplikacji z ustawieniem klastra FrontEndSSLCipherSuiteOrder
W przypadku środowisk App Service Environment, które mają skonfigurowane ustawienie klastra FrontEndSSLCipherSuiteOrder, zaktualizuj ustawienia tak, aby zawierały dwa zestawy szyfrowania TLS 1.3:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Po zaktualizowaniu ustawienia klastra należy ponownie uruchomić interfejs, aby zmiany zaczęły obowiązywać. Ponadto należy nadal uwzględnić dwa wymagane zestawy szyfrowania opisane wcześniej, nawet w przypadku aktualizacji do obsługi protokołu TLS 1.3. Jeśli używasz już FrontEndSSLCipherSuiteOrder, zalecamy, aby nie włączaj także minimalnego pakietu szyfrowania TLS dla aplikacji internetowej. Wynikiem mogą być konfiguracje powodujące konflikt. Skonfiguruj tylko jedną z tych opcji, aby zarządzać preferencjami pakietu szyfrowania.
Kompleksowe szyfrowanie TLS
Kompleksowe szyfrowanie TLS (E2E) gwarantuje, że komunikacja front-end z procesami roboczymi w usłudze Azure App Service jest szyfrowana przy użyciu protokołu TLS. Bez tej funkcji, podczas gdy przychodzące żądania HTTPS są szyfrowane do końcówek, ruch z końcówek do pracowników wykonujących obciążenia aplikacji będzie transportowany niezaszyfrowany wewnątrz infrastruktury Azure.
Protokół TLS E2E pomaga zapewnić pełne szyfrowanie ruchu między:
- Klienci i interfejsy usługi App Service
- Frontony usługi App Service i procesy robocze obsługujące aplikację
Ta funkcja jest dostępna w następujących miejscach:
- Plany usługi App Service w warstwie Premium (zalecane w przypadku nowych wdrożeń)
- Starsze plany usługi App Service Standard (istniejący użytkownicy)
Ważne
Plany Premium są zalecane w przypadku nowych wdrożeń, które wymagają szyfrowania E2E i innych zaawansowanych funkcji zabezpieczeń.
Włączanie kompleksowego szyfrowania TLS
Szyfrowanie TLS E2E można włączyć za pośrednictwem:
- Ustawienia witryny Azure Portal
- Polecenia CLI platformy Azure
- Szablony ARM do automatyzacji
Po włączeniu szyfrowania TLS E2E cała komunikacja wewnątrz klastra dla aplikacji internetowej jest szyfrowana przy użyciu protokołu TLS, zapewniając kompleksową ochronę danych.
Certyfikaty TLS/SSL w usłudze App Service
Aby obsługiwać ruch HTTPS, usługa App Service wymaga certyfikatu TLS/SSL powiązanego z Twoją domeną niestandardową. Usługa App Service oferuje wiele opcji certyfikatów, od w pełni zarządzanych bezpłatnych certyfikatów do certyfikatów zarządzanych przez klienta.
Typy certyfikatów
Certyfikaty zarządzane usługi App Service (wersja bezpłatna)
- Zapewnione bez ponoszenia kosztów.
- W pełni zarządzane przez usługę Azure App Service, w tym automatyczne odnawianie.
- Klienci nie mogą uzyskiwać dostępu do tych certyfikatów poza usługą App Service ani ich eksportować ani używać.
- Nie obsługuje symboli wieloznacznych ani urzędów certyfikacji z niestandardowym korzeniem.
Certyfikaty usługi App Service (ASC)
- Płatne certyfikaty wystawione przez firmę GoDaddy.
- Klient jest właścicielem certyfikatu i zarządza nim.
- Przechowywane w Key Vault (KV) należącym do klienta i mogą być eksportowane oraz używane poza App Service.
Przynieś własny certyfikat (BYOC)
- Przekazywanie własnych certyfikatów TLS/SSL i zarządzanie nimi (format PFX).
- W pełni zarządzane przez klienta.
Każda z tych opcji zapewnia elastyczność w zależności od potrzeb w zakresie zabezpieczeń i zarządzania.
Wiązanie certyfikatów z domenami niestandardowymi
Po przesłaniu lub utworzeniu certyfikatu należy powiązać go z domeną niestandardową w aplikacji internetowej przy użyciu:
- Powiązania SSL SNI (wskazanie nazwy serwera) dla hostingu wielodostępnych
- Wiązania SSL dla dedykowanych adresów IP
Uwaga
Domeny zarządzane przez platformę Azure (takie jak *.azurewebsites.net) są automatycznie zabezpieczone przy użyciu certyfikatów domyślnych, więc nie jest wymagana żadna dodatkowa konfiguracja.
Wzajemne uwierzytelnianie TLS (mTLS)
Usługa Azure App Service obsługuje wzajemny TLS (mTLS) zarówno w planach App Service dla systemu Linux, jak i Windows, dzięki czemu aplikacje mogą wymagać certyfikatów klienta dla dodatkowego bezpieczeństwa.
Jak działa mTLS
- Klienci przedstawiają certyfikaty zweryfikowane w skonfigurowanym łańcuchu zaufanych urzędów certyfikacji.
- Tylko klienci z prawidłowymi certyfikatami mogą się łączyć.
- Jest ona często używana do zabezpieczania interfejsów API i aplikacji wewnętrznych.
Opcje konfiguracji
- Włącz usługę mTLS przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub szablonów usługi ARM.
- Prześlij zaufane certyfikaty CA do weryfikacji klienta.
- Uzyskiwanie dostępu do informacji o certyfikacie klienta w kodzie aplikacji za pośrednictwem nagłówków żądań.
Automatyczne zarządzanie certyfikatami
Usługa Azure App Service udostępnia wbudowane funkcje do automatycznego zarządzania certyfikatami:
certyfikaty zarządzane przez usługę App Service (wersja bezpłatna). Automatycznie wystawiane i odnawiane dla domen niestandardowych. Te certyfikaty są ograniczone do podstawowej weryfikacji domeny i nie obsługują symboli wieloznacznych ani certyfikatów z możliwością eksportowania.
certyfikaty usługi App Service (płatne). W pełni zarządzane certyfikaty, które obsługują zaawansowane scenariusze, w tym domeny wieloznaczne i certyfikaty z możliwością eksportowania. Te certyfikaty są przechowywane i zarządzane w usłudze Azure Key Vault.
Usługa Azure App Service ułatwia zabezpieczanie aplikacji internetowych przy użyciu protokołów TLS i SSL. Dzięki obsłudze nowoczesnych wersji protokołu TLS, elastycznych opcji certyfikatów i zaawansowanych funkcji, takich jak wzajemne protokoły TLS, usługa App Service pomaga chronić dane podczas przesyłania i spełniać wymagania dotyczące zgodności.