Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Номера SKU для шлюза приложений версии 2 могут работать в утверждённом режиме FIPS (Федеральный стандарт обработки информации) 140, также называемом режимом FIPS. В этом режиме шлюз приложений поддерживает криптографические модули и шифрование данных. Режим FIPS вызывает проверенный криптографический модуль FIPS 140-2, обеспечивающий алгоритмы, совместимые с FIPS для шифрования, хэширования и подписывания при включении.
Облака и регионы
| Облако | Состояние | Поведение по умолчанию |
|---|---|---|
| Azure для государственных организаций (Fairfax) | Поддерживается | Включено для развертываний с помощью портала |
| Публика | Поддерживается | Disabled |
| Microsoft Azure под управлением 21Vianet | Поддерживается | Disabled |
Так как FIPS 140 является обязательным для федеральных учреждений США, шлюз приложений версии 2 имеет режим FIPS, включенный по умолчанию в облаке Azure для государственных организаций (Fairfax). Клиенты могут отключить режим FIPS, если у них есть устаревшие клиенты с использованием старых наборов шифров, хотя это не рекомендуется. В рамках соответствия FedRAMP правительство США предписывает системам работать в режиме, утвержденном FIPS после августа 2024 года.
Для остальных облаков клиенты должны принять участие в включении режима FIPS.
Операция режима FIPS
Шлюз приложений использует процесс последовательного обновления для реализации конфигураций с проверенным криптографическим модулем FIPS во всех экземплярах. Длительность включения или отключения режима FIPS может составлять от 15 до 60 минут в зависимости от количества настроенных или запущенных экземпляров.
Это важно
Изменение конфигурации режима FIPS может занять от 15 до 60 минут в зависимости от количества экземпляров шлюза.
После включения шлюз поддерживает только политики TLS и наборы шифров, соответствующие стандартам FIPS. Следовательно, на портале отображается только ограниченный выбор политик TLS (как предопределенный, так и настраиваемый).
Поддерживаемые политики TLS
Шлюз приложений предоставляет два механизма управления политикой TLS. Можно использовать предопределенную политику или пользовательскую политику. Полные сведения см. в разделе "Общие сведения о политике TLS". Ресурс шлюза приложений с поддержкой FIPS поддерживает только следующие политики.
Предварительно определенный
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
Настраиваемая версия 2
Версии
- Протокол TLS 1.3
- TLS 1.2
Наборы шифров
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Из-за ограниченной совместимости политик TLS включение FIPS автоматически выбирает AppGwSslPolicy20220101 как для политики SSL, так и для профиля SSL. Позже можно изменить на использование других политик TLS, совместимых с FIPS. Для поддержки устаревших клиентов с другими несоответствующими наборами шифров можно отключить режим FIPS, хотя это не рекомендуется для ресурсов, находящихся в пределах инфраструктуры FedRAMP.
Включение режима FIPS в SKU версии 2
Портал Azure
Чтобы управлять настройкой режима FIPS с помощью портала Azure,
- Перейдите к ресурсу шлюза приложений.
- Откройте вкладку "Конфигурация" в левом меню.
- Переключите переключатель режима FIPS как "Включено".
Дальнейшие шаги
Сведения о поддерживаемых политиках TLS в шлюзе приложений.