Шлюз приложений Общие сведения о политике TLS для контейнеров
Вы можете использовать Шлюз приложений Azure для контейнеров для управления шифрами TLS для соответствия требованиям и безопасности организации.
Политика TLS включает определение версии протокола TLS, наборов шифров и порядка, в которых шифры предпочтительны во время подтверждения TLS. Шлюз приложений для контейнеров в настоящее время предлагает две предопределенные политики для выбора.
Сведения об использовании и версии
- Настраиваемая политика TLS позволяет настроить минимальную версию протокола, шифры и эллиптические кривые для шлюза.
- Если политика TLS не определена, используется политика TLS по умолчанию.
- Наборы шифров TLS, используемые для подключения, также зависят от типа используемого сертификата. Наборы шифров, согласованные между клиентом и Шлюз приложений для контейнеров, основаны на конфигурации прослушивателя шлюза, как определено в YAML. Наборы шифров, используемые при установке соединений между Шлюз приложений для контейнеров и серверным целевым объектом, основаны на типе сертификатов сервера, представленных серверным целевым объектом.
Предопределенная политика TLS
Шлюз приложений для контейнеров предлагает две предопределенные политики безопасности. Вы можете выбрать любую из этих политик, чтобы обеспечить соответствующий уровень безопасности. Имена политик определяются по годам и месяцам (ГГГГ-ММ) введения. Кроме того, вариант -S может существовать для обозначения более строгого варианта шифров, которые могут быть согласованы. Каждая политика предлагает разные версии протокола TLS и комплекты шифров. Эти предопределенные политики настроены в соответствии с рекомендациями и рекомендациями группы безопасности Майкрософт. Мы рекомендуем использовать новейшие политики TLS, чтобы задействовать наилучшие средства безопасности TLS.
В следующей таблице показан список наборов шифров и минимальная поддержка версий протокола для каждой предопределенной политики. Порядок комплектов шифров определяет порядок приоритета во время согласования TLS. Чтобы узнать точное порядок наборов шифров для этих предопределенных политик.
| Предопределенные имена политик | 2023-06 | 2023-06-S |
|---|---|---|
| Минимальная версия протокола | TLS 1.2 | TLS 1.2 |
| Включенные версии протокола | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Эллиптические кривые | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Версии протокола, шифры и эллиптические кривые, не указанные в таблице выше, не поддерживаются и не будут согласованы.
Политика TLS по умолчанию
Если политика TLS не указана в конфигурации Kubernetes, будет применена предопределенная политика 2023-06 .
Настройка политики TLS
Политика TLS может быть определена в ресурсе FrontendTLSPolicy , который предназначен для определенных прослушивателей шлюза. Укажите тип predefinned политики и используйте либо предопределенное имя политики: 2023-062023-06-S
Пример команды для создания ресурса FrontendTLSPolicy с предопределенной политикой TLS 2023-06-S.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF