Gerenciar protocolos e cifras no Gerenciamento de API do Azure

APLICA-SE A: todas as camadas do Gerenciamento de API

O Gerenciamento de API do Azure dá suporte a várias versões do protocolo TLS para proteger o tráfego de API do:

• Lado do cliente (cliente para gateway de Gerenciamento de API)
• Lado do servidor (gateway de gestão de API para back-end)

O Gerenciamento de API também dá suporte a vários pacotes de criptografia usados pelo gateway de API.

Dependendo da camada de serviço, o Gerenciamento de API dá suporte a versões TLS até 1.2 ou TLS 1.3 para conectividade de cliente e back-end e vários pacotes de criptografia compatíveis. Este guia mostra como gerenciar a configuração de protocolos e cifras para uma instância de Gerenciamento de API do Azure.

Observação

• Se estiver usando o gateway auto-hospedado, consulte segurança de gateway auto-hospedado para gerenciar protocolos TLS e pacotes de criptografias.
• As camadas a seguir não dão suporte a alterações na configuração de criptografia padrão: Consumo, Basic v2 , Standard v2 ,Premium v2.
• Em workspaces, o gateway gerenciado não dá suporte a alterações no protocolo padrão e na configuração de criptografia.

Observação

Dependendo da camada de serviço de Gerenciamento de API, as alterações podem levar de 15 a 45 minutos ou mais para serem aplicadas. Uma instância na camada de serviço do Desenvolvedor tem um tempo de inatividade durante o processo. As instâncias nas camadas Básica e superior não têm tempo de inatividade durante o processo.

Pré-requisitos

• Uma instância de API Management. Crie uma, se ainda não tiver.

Navegar até a instância de Gerenciamento de API

1. No portal do Azure, pesquise e selecione os serviços de Gerenciamento de API:

   

2. Na página Serviços de Gerenciamento de API , selecione sua instância de Gerenciamento de API:

   

Como gerenciar protocolos TLS e conjuntos de criptografia

1. Na navegação esquerda da instância de Gerenciamento de API, em Segurança, selecione Protocolos + criptografias.
2. Habilite ou desabilite os protocolos ou cifras desejados.
3. Clique em Salvar.

Observação

Alguns protocolos ou pacotes de criptografia (como TLS 1.2 do lado do back-end) não podem ser habilitados ou desabilitados no portal do Azure. Em vez disso, será necessário aplicar a chamada à API REST. Use a estrutura properties.customProperties na API REST Criar/atualizar Serviço de Gerenciamento de API.

Suporte ao TLS 1.3 em camadas clássicas

O suporte ao TLS 1.3 está disponível nas camadas de serviço clássicas do Gerenciamento de API (Consumo, Desenvolvedor, Básico, Standard e Premium). Na maioria dos casos criados nessas camadas de serviço, o TLS 1.3 é habilitado permanentemente por padrão para conexões do lado do cliente. Habilitar o TLS 1.3 do back-end é opcional. O TLS 1.2 também está habilitado por padrão nos lados do cliente e do back-end.

O TLS 1.3 é uma revisão importante do protocolo TLS que fornece segurança e desempenho aprimorados. Ele inclui recursos como latência reduzida do handshake e segurança aprimorada contra determinados tipos de ataques.

Observação

As camadas v2 de Gerenciamento de API e gateways de workspace dão suporte ao TLS 1.2 por padrão para conexões no cliente e no backend. Atualmente, eles não dão suporte ao TLS 1.3.

Opcionalmente, habilite o TLS 1.3 quando os clientes exigirem a renegociação de certificados

O TLS 1.3 não dá suporte à renegociação de certificados. A renegociação de certificados no TLS permite que o cliente e o servidor renegociem os parâmetros de conexão no meio da sessão para autenticação sem encerrar a conexão.

Os serviços identificados como dependentes da renegociação de certificado do cliente não têm o TLS 1.3 habilitado por padrão.

Aviso

Se suas APIs forem acessadas por clientes compatíveis com TLS que dependem da renegociação de certificados, habilitar o TLS 1.3 para conexões do lado do cliente fará com que esses clientes não se conectem. Examine as APIs que usaram recentemente a renegociação de certificados antes de habilitar o TLS 1.3 do lado do cliente em qualquer serviço que não o tenha habilitado por padrão.

Para habilitar o TLS 1.3 para conexões do lado do cliente nessas instâncias, defina as configurações na página Protocolos + criptografias :

1. Na página Protocolos + criptografias , na seção protocolo Cliente , ao lado do TLS 1.3, selecione Exibir e gerenciar a configuração.
2. Examine a lista de renegociações recentes de certificados do cliente. A lista mostra as operações de API em que os clientes usaram recentemente a renegociação do certificado do cliente.
3. Se você optar por habilitar o TLS 1.3 para conexões do lado do cliente, selecione Habilitar.
4. Selecione Fechar.

Depois de habilitar o TLS 1.3, examine as métricas de solicitação de gateway ou as exceções relacionadas ao TLS em logs que indicam falhas de conexão TLS. Se necessário, desabilite o TLS 1.3 para conexões do lado do cliente e faça downgrade para o TLS 1.2.

Se você precisar desabilitar o TLS 1.3 para conexões do lado do cliente nessas instâncias, defina as configurações na página Protocolos + criptografias :

1. Na página Protocolos + criptografias , na seção protocolo Cliente , ao lado do TLS 1.3, selecione Exibir e gerenciar a configuração.
2. Selecione Desabilitar.
3. Selecione Fechar.

TLS 1.3 no lado do back-end

Habilitar o TLS 1.3 do back-end é opcional. Se você habilitá-lo, o Gerenciamento de API usará o TLS 1.3 para conexões com seus serviços de back-end.

Aviso

Habilitar o TLS 1.3 para conexões do back-end causará falhas de conexão com serviços de back-end que dependem da renegociação de certificado do cliente entre o Gerenciamento de API e os back-ends.

Você pode habilitar o TLS 1.3 do back-end na página Protocolos + criptografias :

1. Na página Protocolos + criptografias , na seção protocolo Back-end , habilite a configuração do TLS 1.3 .
2. Clique em Salvar.

Conteúdo relacionado

• Para obter recomendações sobre como proteger a instância de Gerenciamento de API, consulte Linha de base de segurança do Azure para Gerenciamento de API.
• Saiba mais sobre as considerações de segurança nas Melhores práticas da Arquitetura para Gerenciamento de API no Gerenciamento de API.
• Saiba mais sobre o TLS.