Visão geral do TLS do Serviço de Aplicativo do Azure
Observação
Os clientes podem estar cientes da notificação de desativação do TLS 1.0 e 1.1 para interações com os serviços Azure. Essa desativação não afeta os aplicativos em execução no Serviço de Aplicativo do Azure ou no Functions. Aplicativos no Serviço de Aplicativo do Azure ou no Functions configurados para aceitar TLS 1.0 ou TLS 1.1 para solicitações recebidas continuarão a funcionar sem impacto.
Qual é a função do TLS no Serviço de Aplicativo?
O TLS é um protocolo de segurança amplamente adotado, desenvolvido para proteger conexões e comunicações entre servidores e clientes. O Serviço de Aplicativo permite que os clientes usem certificados TLS/SSL para proteger as solicitações de entrada nos aplicativos Web. Atualmente, o Serviço de Aplicativo dá suporte a um conjunto diferente de recursos do TLS para que os clientes protejam os aplicativos Web.
Dica
Você também pode fazer essas perguntas ao Azure Copilot:
- Quais versões do TLS têm suporte no Serviço de Aplicativo?
- Quais são os benefícios de usar o TLS 1.3 em relação às versões anteriores?
- Como posso alterar a ordem do conjunto de criptografia para meu Ambiente de Serviço de Aplicativo?
Para localizar o Copilot no Azure, na barra de ferramentas do portal do Azure, selecione Copilot.
Versão do TLS com suporte no Serviço de Aplicativo?
Para as solicitações de entrada para o aplicativo Web, o Serviço de Aplicativo dá suporte às versões do TLS 1.0, 1.1, 1.2 e 1.3.
Definir a Versão Mínima do TLS
Siga estas etapas para alterar a Versão Mínima do TLS do seu recurso de Serviço de Aplicativo:
- Navegue até seu aplicativo no portal do Azure
- No menu esquerdo, selecione configuração e depois selecione a aba Configurações gerais.
- Em Versão Mínima do TLS de Entrada, usando a lista suspensa, selecione a versão desejada.
- Selecione Salvar para salvar as alterações.
Versão Mínima do TLS com o Azure Policy
Você pode usar o Azure Policy para ajudar na auditoria dos seus Recursos em relação à versão mínima do TLS. Você pode consultar a definição da política de versão mais recente do TLS dos aplicativos do Serviço de Aplicativo e alterar os valores para a versão mínima desejada do TLS. Para definições de política semelhantes para outros Recursos do Serviço de Aplicativo, confira Lista de definições de políticas internas - Azure Policy para Serviço de Aplicativo.
Versão mínima do TLS e versão mínima do TLS do SCM
O Serviço de Aplicativo também permite que você defina a versão mínima do TLS para as solicitações de entrada para o aplicativo Web e o site do SCM. Por padrão, a versão mínima do TLS para as solicitações de entrada para o aplicativo Web e o SCM é definida como 1.2 no portal e na API.
TLS 1.3
Uma configuração Minimum TLS Cipher Suite está disponível com TLS 1.3. Isso inclui dois conjuntos de criptografia no topo da ordem do conjunto de criptografia:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0/TLS 1.1
O TLS 1.0 e 1.1 são considerados protocolos herdados e deixaram de ser considerados seguros. Em geral, é recomendável que os clientes usem o TLS 1.2 ou posterior como a versão mínima do TLS. Ao criar um aplicativo Web, a versão mínima padrão do TLS seria TLS 1.2.
Para garantir a compatibilidade com versões anteriores no TLS 1.0 e 1.1, o Serviço de Aplicativo continuará dando suporte ao TLS 1.0 e 1.1 nas solicitações de entrada para o aplicativo Web. No entanto, como a versão mínima padrão do TLS é definida como TLS 1.2, atualize as configurações mínimas de versão do TLS no aplicativo Web para o TLS 1.0 ou 1.1, de modo que as solicitações não sejam rejeitadas.
Importante
As solicitações de entrada para os aplicativos Web e as solicitações de entrada para o Azure são tratadas de maneira diferente. O Serviço de Aplicativo continuará dando suporte ao TLS 1.0 e 1.1 nas solicitações de entrada para os aplicativos Web. Nas solicitações de entrada diretamente no Azure, por exemplo, por meio do ARM ou da API, não é recomendável usar o TLS 1.0 ou 1.1.
Conjunto mínimo de cifras TLS (versão prévia)
Observação
O Conjunto de Cifras TLS mínimo é compatível com SKUs Premium e superior no Serviço de Aplicativo multilocatário.
O conjunto mínimo de criptografia TLS inclui uma lista fixa de conjuntos de criptografia com uma ordem de prioridade ideal que não pode ser alterada. Não é recomendado reordenar ou repriorizar os conjuntos de criptografia, pois isso pode expor seus aplicativos Web a uma criptografia mais fraca. Você também não pode adicionar conjuntos de criptografia novos ou diferentes a essa lista. Quando você seleciona um conjunto de criptografia mínimo, o sistema desabilita automaticamente todos os conjuntos de criptografia menos seguros para seu aplicativo Web, sem permitir que você desabilite seletivamente apenas alguns conjuntos de criptografia mais fracos.
O que são conjuntos de criptografia e como funcionam no Serviço de Aplicativo?
Um conjunto de criptografia é um conjunto de instruções que contém algoritmos e protocolos para ajudar a proteger conexões de rede entre clientes e servidores. Por padrão, o sistema operacional do front-end escolheria o conjunto de criptografia mais seguro compatível com o Serviço de Aplicativo e o cliente. No entanto, se o cliente oferecer suporte apenas a conjuntos de criptografia fracos, o sistema operacional do front-end acabará escolhendo um conjunto de criptografia fraco que seja suportado por ambos. Se sua organização tiver restrições sobre quais conjuntos de criptografia não devem ser permitidos, você poderá atualizar a propriedade mínima do conjunto de criptografia TLS do seu aplicativo Web para garantir que os conjuntos de criptografia fracos sejam desabilitados para seu aplicativo Web.
Ambiente de Serviço de Aplicativo (ASE) V3 com configuração de cluster FrontEndSSLCipherSuiteOrder
Para Ambientes de Serviço de Aplicativo com configuração de cluster FrontEndSSLCipherSuiteOrder, é necessário atualizar suas configurações para incluir dois conjuntos de criptografia TLS 1.3 (TLS_AES_256_GCM_SHA384 e TLS_AES_128_GCM_SHA256). Depois de atualizado, reinicie seu front-end para que a alteração tenha efeito. Você ainda deve incluir os dois conjuntos de criptografia necessários, conforme mencionado na documentação.
Criptografia TLS ponta a ponta (versão prévia)
A criptografia TLS ponta a ponta (E2E) está disponível nos planos Serviço de Aplicativo Standard e superiores. O tráfego intra-cluster front-end entre front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicações agora pode ser encriptado.