Azure API Management'ta protokolleri ve şifrelemeleri yönetme

UYGULANANLAR: Tüm API Management katmanları

Azure API Management, AŞAĞıDAKIler için API trafiğinin güvenliğini sağlamak için Aktarım Katmanı Güvenliği (TLS) protokolünün birden çok sürümünü destekler:

• İstemci tarafı (API Management ağ geçidine istemci)
• Arka uç tarafı (API Management ağ geçidi-arka uç)

API Management, API ağ geçidi tarafından kullanılan birden çok şifreleme paketini de destekler.

Hizmet katmanına bağlı olarak API Management, istemci ve arka uç bağlantısı için 1.2 veya TLS 1.3'e kadar TLS sürümlerini ve desteklenen birkaç şifreleme paketini destekler. Bu kılavuzda, bir Azure API Management örneği için protokolleri ve şifreleme yapılandırmasını yönetme adımları gösterilmektedir.

Note

• Şirket içinde barındırılan ağ geçidini kullanıyorsanız TLS protokollerini ve şifre paketlerini yönetmek için bkz. şirket içinde barındırılan ağ geçidi güvenliği .
• Aşağıdaki katmanlar varsayılan şifreleme yapılandırmasındaki değişiklikleri desteklemez: Tüketim, Temel v2, Standart v2, Premium v2.
• Çalışma alanlarında, yönetilen ağ geçidi varsayılan protokol ve şifreleme yapılandırmasında yapılan değişiklikleri desteklemez.

Note

API Management hizmet katmanına bağlı olarak değişikliklerin uygulanması 15-45 dakika veya daha uzun sürebilir. Geliştirici hizmet katmanındaki bir örneğin işlem sırasında kapalı kalma süresi vardır. Temel ve daha yüksek katmanlardaki örneklerin işlem sırasında kapalı kalma süresi yoktur.

Prerequisites

• Api Management örneği. Henüz oluşturmadıysanız bir tane oluşturun.

API Management örneğinize gidin

1. Azure portalındaAPI Management hizmetlerini arayın ve seçin:

   

2. API Management hizmetleri sayfasında API Management örneğinizi seçin:

   

TLS protokollerini ve şifreleme paketlerini yönetme

1. API Management örneğinizin sol gezinti bölmesinde , Güvenlik'in altında Protokoller + şifrelemeler'i seçin.
2. İstenen protokolleri veya şifreleri etkinleştirin veya devre dışı bırakın.
3. Kaydetseçeneğini seçin.

Note

Bazı protokoller veya şifreleme paketleri (arka uç tarafı TLS 1.2 gibi) Azure portalından etkinleştirilemiyor veya devre dışı bırakılamıyor. Bunun yerine REST API çağrısını uygulamanız gerekir. properties.customProperties API Management Hizmeti REST API'sini Oluşturma/Güncelleştirme içindeki yapıyı kullanın.

Klasik katmanlarda TLS 1.3 desteği

TLS 1.3 desteği API Management klasik hizmet katmanlarında (Tüketim, Geliştirici, Temel, Standart ve Premium) kullanılabilir. Bu hizmet katmanlarında oluşturulan çoğu durumda TLS 1.3, istemci tarafı bağlantılar için varsayılan olarak kalıcı olarak etkinleştirilir. Arka uç tarafı TLS 1.3'in etkinleştirilmesi isteğe bağlıdır. TLS 1.2, hem istemci hem de arka uç tarafında varsayılan olarak etkindir.

TLS 1.3, gelişmiş güvenlik ve performans sağlayan TLS protokolünün önemli bir düzeltmesidir. El sıkışma gecikmesinin azaltılması ve belirli saldırı türlerine karşı geliştirilmiş güvenlik gibi özellikler içerir.

Note

API Management ve çalışma alanı ağ geçitlerininv2 katmanları, istemci tarafı ve arka uç tarafı bağlantıları için varsayılan olarak TLS 1.2'yi destekler. Şu anda TLS 1.3'i desteklememektedir.

İsteğe bağlı olarak, istemciler sertifika yeniden anlaşması gerektirdiğinde TLS 1.3'i etkinleştirin

TLS 1.3, sertifika yeniden anlaşmasını desteklemez. TLS'de sertifika yeniden anlaşması, istemci ve sunucunun bağlantıyı sonlandırmadan kimlik doğrulaması için oturum ortasında bağlantı parametrelerini yeniden anlaşmasına olanak tanır.

İstemci sertifikası yeniden anlaşmasına bağlı olduğunu belirlediğimiz hizmetlerde varsayılan olarak TLS 1.3 etkin değildir.

Uyarı

API'lerinize sertifika yeniden anlaşması kullanan TLS uyumlu istemciler erişiyorsa, istemci tarafı bağlantılar için TLS 1.3'in etkinleştirilmesi bu istemcilerin bağlanamamasına neden olur. Varsayılan olarak etkinleştirilmemiş herhangi bir hizmette istemci tarafı TLS 1.3'i etkinleştirmeden önce yakın zamanda sertifika yeniden anlaşması kullanan API'leri gözden geçirin.

Bu örneklerde istemci tarafı bağlantıları için TLS 1.3'i etkinleştirmek için Protokoller + şifreler sayfasında ayarları yapılandırın:

1. Protokoller + şifrelemeler sayfasındaki İstemci protokolü bölümünde, TLS 1.3'in yanındaki Yapılandırmayı görüntüle ve yönet'i seçin.
2. Son istemci sertifikası yeniden anlaşmaları listesini gözden geçirin. Listede, istemcilerin yakın zamanda istemci sertifikası yeniden anlaşması kullandığı API işlemleri gösterilir.
3. İstemci tarafı bağlantılar için TLS 1.3'i etkinleştirmeyi seçerseniz Etkinleştir'i seçin.
4. Kapat'ı seçin.

TLS 1.3'i etkinleştirdikten sonra, TLS bağlantı hatalarını gösteren günlüklerde ağ geçidi isteği ölçümlerini veya TLS ile ilgili özel durumları gözden geçirin. Gerekirse, istemci tarafı bağlantıları için TLS 1.3'i devre dışı bırakın ve TLS 1.2'ye düşürun.

Bu örneklerde istemci tarafı bağlantıları için TLS 1.3'i devre dışı bırakmanız gerekiyorsa Protokoller + şifreler sayfasında ayarları yapılandırın:

1. Protokoller + şifrelemeler sayfasındaki İstemci protokolü bölümünde, TLS 1.3'in yanındaki Yapılandırmayı görüntüle ve yönet'i seçin.
2. Devre dışı bırak'ı seçin.
3. Kapat'ı seçin.

Arka uç tarafı TLS 1.3

Arka uç tarafı TLS 1.3'in etkinleştirilmesi isteğe bağlıdır. Bunu etkinleştirirseniz, API Management arka uç hizmetlerinize bağlantılar için TLS 1.3 kullanır.

Uyarı

Arka uç tarafı bağlantılar için TLS 1.3'in etkinleştirilmesi, API Management ile arka uçlar arasında istemci sertifikası yeniden anlaşması kullanan arka uç hizmetlerinde bağlantı hatalarına neden olur.

Arka uç tarafı TLS 1.3'u Protokoller + şifrelemeler sayfasından etkinleştirebilirsiniz:

1. Protokoller + şifrelemeler sayfasındaki Arka uç protokolü bölümünde TLS 1.3 ayarını etkinleştirin.
2. Kaydetseçeneğini seçin.

İlgili içerik

• API Management örneğinizin güvenliğini sağlamaya yönelik öneriler için bkz. API Management için Azure güvenlik temeli.
• API Management için en iyi API Management Mimarisi yöntemlerinde güvenlikle ilgili dikkat edilmesi gerekenler hakkında bilgi edinin.
• TLS hakkında daha fazla bilgi edinin.