Поделиться через

Обзор TLS службы приложение Azure

  • Статья

Примечание.

Клиенты могут знать об уведомлении о выходе на пенсию TLS 1.0 и 1.1 для взаимодействия со службами Azure. Это прекращение работы не влияет на приложения, работающие на Служба приложений или Функции Azure. Приложения на Служба приложений или Функции Azure, настроенные для принятия TLS 1.0 или TLS 1.1 для входящих запросов, будут продолжать работать без изменений.

Что делает TLS в Служба приложений?

Протокол TLS — это широко используемый протокол безопасности, предназначенный для защиты подключений и обмена данными между серверами и клиентами. Служба приложений позволяет клиентам использовать СЕРТИФИКАТЫ TLS/SSL для защиты входящих запросов к веб-приложениям. Служба приложений в настоящее время поддерживает различные наборы функций TLS для клиентов для защиты своих веб-приложений.

Совет

Вы также можете задать azure Copilot на следующие вопросы:

  • Какие версии TLS поддерживаются в Служба приложений?
  • Каковы преимущества использования TLS 1.3 в предыдущих версиях?
  • Как изменить порядок набора шифров для моего Среда службы приложений?

Чтобы найти Azure Copilot, на панели инструментов портал Azure выберите Copilot.

Поддерживаемая версия TLS в Служба приложений?

Для входящих запросов к веб-приложению Служба приложений поддерживает tls версии 1.0, 1.1, 1.2 и 1.3.

Установка минимальной версии TLS

Выполните следующие действия, чтобы изменить минимальную версию TLS ресурса Служба приложений:

  1. Перейдите к приложению в портал Azure
  2. В меню слева выберите конфигурацию и перейдите на вкладку "Общие параметры ".
  3. В минимальной версии TLS для входящего трафика, используя раскрывающийся список, выберите нужную версию.
  4. Выберите Сохранить, чтобы сохранить изменения.

Минимальная версия TLS с Политика Azure

Вы можете использовать Политика Azure для аудита ресурсов, когда речь идет о минимальной версии TLS. Вы можете ссылаться на Служба приложений приложения должны использовать последнее определение политики версии TLS и изменить значения на нужную минимальную версию TLS. Аналогичные определения политик для других ресурсов Служба приложений см. в списке встроенных определений политик Политика Azure для Служба приложений.

Минимальная версия TLS и минимальная версия TLS SCM

Служба приложений также позволяет задать минимальную версию TLS для входящих запросов к веб-приложению и сайту SCM. По умолчанию минимальная версия TLS для входящих запросов к веб-приложению и SCM будет иметь значение 1.2 на портале и API.

Протокол TLS 1.3

Минимальный параметр набора шифров TLS доступен в TLS 1.3. Сюда входят два набора шифров в верхней части порядка набора шифров:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

TLS 1.0 и 1.1

Протоколы TLS 1.0 и 1.1 считаются устаревшими и больше не считаются безопасными. Как правило, клиентам рекомендуется использовать TLS 1.2 или более поздней версии в качестве минимальной версии TLS. При создании веб-приложения минимальная версия TLS по умолчанию — TLS 1.2.

Чтобы обеспечить обратную совместимость для TLS 1.0 и TLS 1.1, Служба приложений продолжит поддерживать TLS 1.0 и 1.1 для входящих запросов к веб-приложению. Однако, так как минимальная версия TLS по умолчанию имеет значение TLS 1.2, необходимо обновить минимальные конфигурации версий TLS в веб-приложении до TLS 1.0 или 1.1, чтобы запросы не отклонялись.

Внимание

Входящие запросы к веб-приложениям и входящим запросам в Azure обрабатываются по-разному. Служба приложений будет продолжать поддерживать TLS 1.0 и 1.1 для входящих запросов к веб-приложениям. Для входящих запросов непосредственно в Azure, например через ARM или API, не рекомендуется использовать TLS 1.0 или 1.1.

Минимальный набор шифров TLS (предварительная версия)

Примечание.

Минимальный набор шифров TLS поддерживается в номерах SKU уровня "Премиум" и более поздних версий в мультитенантных Служба приложений.

Минимальный набор шифров TLS включает фиксированный список наборов шифров с оптимальным порядком приоритета, который нельзя изменить. Переупорядочение или повторение наборов шифров не рекомендуется, так как это может предоставить веб-приложениям более слабое шифрование. В этот список также нельзя добавить новые или разные наборы шифров. При выборе минимального набора шифров система автоматически отключает все менее безопасные наборы шифров для веб-приложения, не позволяя выборочно отключать только некоторые более слабые наборы шифров.

Что такое наборы шифров и как они работают на Служба приложений?

Набор шифров — это набор инструкций, содержащих алгоритмы и протоколы для защиты сетевых подключений между клиентами и серверами. По умолчанию операционная система переднего плана выбирает наиболее безопасный набор шифров, поддерживаемый как Служба приложений, так и клиентом. Тем не менее, если клиент поддерживает только слабые наборы шифров, операционная система внешнего интерфейса в конечном итоге выберет слабый набор шифров, поддерживаемый обеими. Если в вашей организации есть ограничения на то, какие наборы шифров не должны быть разрешены, вы можете обновить минимальное свойство набора шифров TLS веб-приложения, чтобы убедиться, что слабые наборы шифров будут отключены для веб-приложения.

Среда службы приложений (ASE) версии 3 с параметром кластераFrontEndSSLCipherSuiteOrder

Для Среда службы приложений с FrontEndSSLCipherSuiteOrder параметром кластера необходимо обновить параметры, чтобы включить два набора шифров TLS 1.3 (TLS_AES_256_GCM_SHA384 и TLS_AES_128_GCM_SHA256). После обновления перезапустите интерфейс, чтобы изменения вступили в силу. Необходимо включить два необходимых набора шифров, как упоминалось в документации.

Сквозное шифрование TLS (предварительная версия)

Сквозное шифрование TLS (E2E) доступно в стандартных планах Служба приложений и более поздних версиях. Теперь внешний трафик внутри кластера между Служба приложений интерфейсами и рабочими нагрузками, работающими с приложениями, теперь можно зашифровать.

Следующие шаги