Поделиться через


Сквозное шифрование TLS при использовании Azure Front Door

Протокол TLS, ранее известный как протокол SSL, является стандартной технологией безопасности для установления зашифрованной связи между веб-сервером и клиентом, например веб-браузером. Эта ссылка гарантирует, что все данные, передаваемые между сервером и клиентом, остаются закрытыми и зашифрованными.

Чтобы обеспечить соответствие требованиям безопасности или соответствия требованиям, Azure Front Door поддерживает сквозное шифрование TLS. Разгрузка TLS/SSL Front Door завершает подключение TLS, расшифровывает трафик в Azure Front Door и повторно шифрует трафик, прежде чем перенаправлять его в источник. Если подключения к источнику используют общедоступный IP-адрес источника, рекомендуется настроить HTTPS в качестве протокола пересылки в Azure Front Door. Используя ПРОТОКОЛ HTTPS в качестве протокола пересылки, можно применить сквозное шифрование TLS для всей обработки запроса от клиента к источнику. Разгрузка TLS/SSL также поддерживается при развертывании частного источника с помощью Azure Front Door Premium с помощью функции Приватный канал.

В этой статье объясняется, как Azure Front Door работает с подключениями TLS. Дополнительные сведения об использовании сертификатов TLS с собственными личными доменами см. в разделе HTTPS для пользовательских доменов. Сведения о настройке сертификата TLS в собственном пользовательском домене см. в статье "Настройка личного домена в Azure Front Door" с помощью портал Azure.

Сквозное шифрование TLS

Сквозной протокол TLS позволяет защитить конфиденциальные данные во время передачи в источник при использовании функций Azure Front Door, таких как глобальная балансировка нагрузки и кэширование. Некоторые функции также включают в себя маршрутизацию на основе URL-адресов, разделение TCP, кэширование в пограничном расположении, ближайшем к клиентам, и настройку HTTP-запросов в пограничной зоне.

Служба Azure Front Door разгружает сеансы TLS в пограничной зоне и расшифровывает клиентские запросы. Затем он применяет настроенные правила маршрутизации для маршрутизации запросов к соответствующему источнику в группе источников. Затем Azure Front Door запускает новое подключение TLS к источнику и повторно шифрует все данные с помощью сертификата источника перед передачей запроса в источник. Любой ответ от источника шифруется с помощью того же процесса обратно пользователю. Вы можете настроить в Azure Front Door протокол HTTPS в качестве протокола переадресации, чтобы включить сквозное шифрование TLS.

Поддерживаемые версии протокола TLS

Azure Front Door поддерживает четыре версии протокола TLS: TLS версии 1.0, 1.1, 1.2 и 1.3. Все профили Azure Front Door, созданные после сентября 2019 г., используют TLS 1.2 как минимум по умолчанию с включенным протоколом TLS 1.3, но tls 1.0 и TLS 1.1 по-прежнему поддерживаются для обратной совместимости.

Хотя Azure Front Door поддерживает TLS 1.2, которая представила взаимную проверку подлинности клиента и клиента в RFC 5246, в настоящее время Azure Front Door пока не поддерживает проверку подлинности клиента и взаимной проверки подлинности (mTLS).

В Azure Front Door можно настроить минимальную версию TLS с помощью параметров HTTPS личного домена, которые можно открыть на портале Azure или при помощи REST API Azure. В настоящее время можно выбрать версию от 1.0 до 1.2. Таким образом, указав TLS 1.2 в качестве минимальной версии, вы сможете контролировать минимально допустимую версию TLS, которую Azure Front Door будет принимать от клиента. Для минимальной версии TLS 1.2 согласование попытается установить TLS 1.3, а затем TLS 1.2, в то время как для минимальной версии TLS 1.0 будут предприняты все четыре версии. Когда Azure Front Door инициирует трафик TLS к источнику, он попытается согласовать лучшую версию TLS, которую источник может надежно и согласованно принимать. Поддерживаемые версии TLS для подключений источника: TLS 1.0, TLS 1.1, TLS 1.2 и TLS 1.3.

Примечание.

  • Для успешного выполнения запросов с Azure Front Door с помощью TLS 1.3 клиенты с поддержкой TLS 1.3 должны поддерживать одну из совместимых с Microsoft SDL кривых, включая Secp384r1, Secp256r1 и Secp521.
  • Рекомендуется, чтобы клиенты использовали одну из этих кривых в качестве предпочтительной кривой во время запросов, чтобы избежать увеличения задержки подтверждения TLS, что может привести к нескольким круговых поездкам для согласования поддерживаемой кривой EC.

Поддерживаемые сертификаты

При создании сертификата TLS/SSL необходимо создать всю цепочку сертификатов с разрешенным центром сертификации (ЦС), который входит в список доверенных ЦС Майкрософт. При использовании недопустимого ЦС ваш запрос будет отклонен.

Сертификаты из внутренних центров сертификации или самозаверяющиеся сертификаты запрещены.

Ассоциация Online Certificate Status Protocol (OCSP)

Ассоциация OCSP поддерживается службой Azure Front Door по умолчанию без какой-либо настройки.

Подключение TLS источника (Azure Front Door к источнику)

Для подключений HTTPS Azure Front Door ожидает, что источник представляет сертификат из допустимого центра сертификации (ЦС) с именем субъекта, соответствующим имени узла источника. Например, если для имени узла источника задано myapp-centralus.contosonews.net значение и сертификат, представленный источником во время подтверждения TLS, не имеет myapp-centralus.contosonews.net или *.contosonews.net в имени субъекта, Azure Front Door отказывается от подключения, и клиент видит ошибку.

Примечание.

Сертификат должен включать всю цепочку сертификатов, в том числе конечные и промежуточные сертификаты. Корневой ЦС должен входить в список доверенных центров сертификации Майкрософт. Если сертификат не включает всю цепочку, запросы, связанные с этим сертификатом, не будут работать должным образом.

В некоторых случаях использования, например для тестирования, в качестве обходного решения для устранения сбоя подключения HTTPS можно отключить имя субъекта сертификата проверка для Azure Front Door. Обратите внимание, что источник по-прежнему должен представлять сертификат с допустимой доверенной цепочкой, но соответствие имени узла источника не обязательно.

В Azure Front Door уровня "Стандартный" и "Премиум" можно настроить источник, чтобы отключить имя субъекта сертификата проверка.

В Azure Front Door (классическая модель) можно отключить имя субъекта сертификата проверка, изменив параметры Azure Front Door в портал Azure. Вы также можете настроить проверка с помощью параметров внутреннего пула в API Azure Front Door.

Примечание.

В точке безопасности корпорация Майкрософт не рекомендует отключить имя субъекта сертификата проверка.

Подключение frontend TLS (клиент к Azure Front Door)

Чтобы включить протокол HTTPS для безопасной доставки содержимого в личном домене Azure Front Door, можно выбрать сертификат, который управляется службой Azure Front Door, или использовать собственный сертификат.

Дополнительные сведения см. в разделе HTTPS для пользовательских доменов.

Управляемый сертификат Azure Front Door предоставляет стандартный СЕРТИФИКАТ TLS/SSL через DigiCert и хранится в Хранилище ключей Azure Front Door.

Если вы решили использовать собственный сертификат, его можно подключить из поддерживаемого центра сертификации. Это может быть стандартный сертификат TLS, сертификат с расширенной проверкой или даже шаблон сертификата. Самозаверяющие сертификаты не поддерживаются. Дополнительные сведения о том, как включить HTTPS для пользовательского домена.

Автоматическая смена сертификатов

При использовании управляемого сертификата Azure Front Door эта служба осуществляет управление сертификатами и их автоматическую смену в течение 90 дней до истечения срока действия. При использовании управляемого сертификата Azure Front Door (ценовая категория "Стандартный" или "Премиум") эта служба осуществляет управление сертификатами и их автоматическую смену в течение 45 дней до истечения срока действия. Если используется управляемый Azure Front Door сертификат и срок действия этого сертификата истекает менее чем через 60 дней (или 30 дней для ценовой категории "Стандартный" или "Премиум"), следует отправить заявку в службу поддержки.

Для пользовательского TLS/SSL-сертификата:

  1. Чтобы автоматически обновлять сертификат до новой версии при ее наличии в хранилище ключей, задайте для версии секрета значение "Последняя". Для пользовательских сертификатов сертификат автоматически поворачивается в течение 3–4 дней с более новой версией сертификата независимо от времени истечения срока действия сертификата.

  2. Если выбрана определенная версия, автоматическая смена не поддерживается. Для смены сертификата нужно будет выбрать новую версию вручную. На развертывание новой версии сертификата (секрета) требуется до 24 часов.

    Примечание.

    Управляемые сертификаты Azure Front Door (цен. категория "Стандартный" и "Премиум") автоматически поворачиваются, если запись CNAME домена указывает непосредственно на конечную точку Front Door или указывает косвенно на конечную точку Диспетчер трафика. В противном случае необходимо повторно проверить владение доменом для смены сертификатов.

    Необходимо обеспечить доступ субъекта-службы Front Door к хранилищу ключей. См. статью о предоставлении доступа к хранилищу ключей. Обновленная операция развертывания сертификатов Azure Front Door не приведет к простою рабочей среды, если имя субъекта или альтернативное имя субъекта (SAN) для сертификата не изменилось.

Поддерживаемые комплекты шифров

Для TLS 1.2/1.3 поддерживаются следующие наборы шифров:

  • TLS_AES_256_GCM_SHA384 (только TLS 1.3)
  • TLS_AES_128_GCM_SHA256 (только TLS 1.3)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Примечание.

Для Windows 10 и более поздних версий рекомендуется включить один или оба набора шифров ECDHE_GCM для повышения безопасности. Windows 8.1, 8 и 7 несовместимы с этими наборами шифров ECDHE_GCM. Наборы шифров DHE и ECDHE_CBC были предоставлены для обеспечения совместимости с этими операционными системами.

При использовании пользовательских доменов с поддержкой TLS 1.0 и 1.1 поддерживаются следующие наборы шифров:

  • TLS_AES_256_GCM_SHA384 (только TLS 1.3)
  • TLS_AES_128_GCM_SHA256 (только TLS 1.3)
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Azure Front Door не поддерживает отключение или настройку определенных наборов шифров для профиля.

Следующие шаги