Partilhar via

Gerir protocolos e cifras na Gestão de API do Azure

APLICA-SE A: Todas as camadas de gerenciamento de API

O Gerenciamento de API do Azure dá suporte a várias versões do protocolo TLS (Transport Layer Security) para proteger o tráfego de API para:

  • Lado do cliente (gateway de gerenciamento de cliente para API)
  • Lado backend (gateway de gestão de API para backend)

A Gestão de API também suporta vários conjuntos de cifras utilizados pelo gateway de API.

Dependendo da camada de serviço, o Gerenciamento de API suporta versões TLS de até 1.2 ou TLS 1.3 para conectividade de cliente e back-end e vários pacotes de codificação suportados. Este guia mostra-lhe como gerir protocolos e configuração de cifras para uma instância da Gestão de API do Azure.

Captura de ecrã a mostrar a gestão de protocolos e cifras no portal do Azure.

Nota

  • Se você estiver usando o gateway auto-hospedado, consulte Segurança do gateway auto-hospedado para gerenciar protocolos TLS e pacotes de codificação.
  • As seguintes camadas não suportam alterações na configuração de cifra padrão: Consumo, Basic v2, Standard v2, Premium v2.
  • Em espaços de trabalho, o gateway gerenciado não oferece suporte a alterações no protocolo padrão e na configuração de cifra.

Nota

Dependendo da camada de serviço de Gerenciamento de API, as alterações podem levar de 15 a 45 minutos ou mais para serem aplicadas. Uma instância no nível de serviço para programadores tem interrupção durante o processo. As instâncias nos escalões Básico e Superior não têm períodos de inatividade durante o processo.

Pré-requisitos

Vá para a sua instância de Gestão de API

  1. No portal do Azure, procure e selecione serviços de Gerenciamento de API:

    Captura de tela que mostra os serviços de Gerenciamento de API nos resultados da pesquisa.

  2. Na página de serviços de Gerenciamento de API, selecione sua instância de Gerenciamento de API:

    Captura de tela que mostra uma instância de Gerenciamento de API na página Serviços de Gerenciamento de API.

Como gerenciar protocolos TLS e pacotes de codificação

  1. Na navegação à esquerda da instância de Gerenciamento de API, em Segurança, selecione Protocolos + cifras.
  2. Habilite ou desabilite os protocolos ou cifras desejados.
  3. Selecione Guardar.

Nota

Alguns protocolos ou pacotes de codificação (como o TLS 1.2 de back-end) não podem ser habilitados ou desabilitados no portal do Azure. Em vez disso, você precisará aplicar a chamada da API REST. Use a estrutura properties.customProperties na API REST Criar/Atualizar Serviço de Gestão de API.

Suporte a TLS 1.3 em camadas clássicas

O suporte a TLS 1.3 está disponível nas camadas de serviço clássicas do Gerenciamento de API (Consumo, Desenvolvedor, Básico, Standard e Premium). Na maioria dos casos criados nessas camadas de serviço, o TLS 1.3 é permanentemente habilitado por padrão para conexões do lado do cliente. A ativação do TLS 1.3 de back-end é opcional. O TLS 1.2 também é habilitado por padrão nos lados do cliente e do back-end.

O TLS 1.3 é uma revisão importante do protocolo TLS que oferece segurança e desempenho aprimorados. Ele inclui recursos como latência reduzida de handshake e segurança aprimorada contra certos tipos de ataques.

Nota

As camadas v2 do Gerenciamento de API e gateways de espaço de trabalho suportam TLS 1.2 por padrão para conexões do lado do cliente e do lado do back-end. Atualmente, eles não suportam TLS 1.3.

Opcionalmente, habilite o TLS 1.3 quando os clientes exigirem renegociação de certificado

O TLS 1.3 não suporta renegociação de certificados. A renegociação de certificados no TLS permite que o cliente e o servidor renegociem parâmetros de conexão no meio da sessão para autenticação sem encerrar a conexão.

Os serviços que identificamos como dependentes da renegociação de certificados do cliente não têm o TLS 1.3 habilitado por padrão.

Advertência

Se suas APIs forem acessadas por clientes compatíveis com TLS que dependem da renegociação de certificados, habilitar o TLS 1.3 para conexões do lado do cliente fará com que esses clientes não consigam se conectar. Analise as APIs que usaram recentemente a renegociação de certificados antes de habilitar o TLS 1.3 do lado do cliente em qualquer serviço que não o tenha habilitado por padrão.

Para habilitar o TLS 1.3 para conexões do lado do cliente nessas instâncias, defina as configurações na página Protocolos + cifras :

  1. Na página Protocolos + cifras , na seção Protocolo cliente , ao lado de TLS 1.3, selecione Exibir e gerenciar configuração.
  2. Analise a lista de renegociações recentes de certificados de clientes. A lista mostra operações de API em que os clientes usaram recentemente a renegociação de certificados de cliente.
  3. Se você optar por habilitar o TLS 1.3 para conexões do lado do cliente, selecione Ativar.
  4. Selecione Fechar.

Depois de habilitar o TLS 1.3, revise as métricas de solicitação de gateway ou as exceções relacionadas ao TLS em logs que indicam falhas de conexão TLS. Se necessário, desative o TLS 1.3 para conexões do lado do cliente e faça o downgrade para o TLS 1.2.

Se você precisar desabilitar o TLS 1.3 para conexões do lado do cliente nessas instâncias, defina as configurações na página Protocolos + cifras :

  1. Na página Protocolos + cifras , na seção Protocolo cliente , ao lado de TLS 1.3, selecione Exibir e gerenciar configuração.
  2. Selecione Desativar.
  3. Selecione Fechar.

TLS 1.3 de back-end

A ativação do TLS 1.3 de back-end é opcional. Se você habilitá-lo, o Gerenciamento de API usará o TLS 1.3 para conexões com seus serviços de back-end.

Advertência

Habilitar o TLS 1.3 para conexões de back-end causará falhas de conexão com serviços de back-end que dependem da renegociação de certificados de cliente entre o Gerenciamento de API e os back-ends.

Você pode habilitar o TLS 1.3 de back-end na página Protocolos + cifras :

  1. Na página Protocolos + cifras , na seção Protocolo de back-end , habilite a configuração TLS 1.3 .
  2. Selecione Guardar.

Conteúdo relacionado

  • Last updated on