Application Gateway TLS ilkesine genel bakış
TLS/SSL sertifika yönetimini merkezileştirmek ve arka uç sunucu grubundan şifreleme ve şifre çözme ek yükünü azaltmak için Azure Uygulaması Lication Gateway'i kullanabilirsiniz. Bu merkezi TLS işleme, kurumsal güvenlik gereksinimlerinize uygun merkezi bir TLS ilkesi belirtmenize de olanak tanır. Bu, uyumluluk gereksinimlerini ve güvenlik yönergelerini ve önerilen uygulamaları karşılamanıza yardımcı olur.
TLS ilkesi, TLS protokol sürümünün yanı sıra şifre paketlerinin ve bir TLS el sıkışması sırasında şifrelerin kullanılma sırasının denetimini içerir. Application Gateway, TLS ilkesini denetlemek için iki mekanizma sunar. Önceden tanımlanmış bir ilke veya özel ilke kullanabilirsiniz.
Kullanım ve sürüm ayrıntıları
- SSL 2.0 ve 3.0 tüm uygulama ağ geçitleri için devre dışıdır ve yapılandırılamaz.
- Özel BIR TLS ilkesi, ağ geçidiniz için en düşük protokol sürümü olarak herhangi bir TLS protokolü seçmenize olanak tanır: TLSv1_0, TLSv1_1, TLSv1_2 veya TLSv1_3.
- Hiçbir TLS ilkesi seçilmezse, bu kaynağı oluşturmak için kullanılan API sürümüne göre varsayılan bir TLS ilkesi uygulanır.
- TLS v1.3'i destekleyen 2022 Önceden Tanımlanmış ve Customv2 ilkeleri yalnızca Application Gateway V2 SKU'larıyla (Standard_v2 veya WAF_v2) kullanılabilir.
- 2022 Önceden Tanımlanmış veya Customv2 ilkesi kullanmak, tüm ağ geçidinin SSL güvenliğini ve performans duruşunu geliştirir (SSL İlkesi ve SSL Profili için). Bu nedenle, hem eski hem de yeni ilkeler bir ağ geçidinde birlikte bulunamaz. İstemciler daha eski TLS sürümleri veya şifreleri (örneğin, TLS v1.0) gerektiriyorsa ağ geçidinde önceden tanımlanmış eski veya özel ilkelerden herhangi birini kullanmanız gerekir.
- Bağlantı için kullanılan TLS şifreleme paketleri, kullanılan sertifikanın türüne de bağlıdır. "İstemciden uygulamaya ağ geçidi bağlantıları" içinde kullanılan şifreleme paketleri, uygulama ağ geçidindeki dinleyici sertifikalarının türünü temel alır. "Arka uç havuzuna uygulama ağ geçidi bağlantıları" oluştururken kullanılan şifreleme paketleri ise arka uç sunucuları tarafından sunulan sunucu sertifikalarının türünü temel alır.
Önceden tanımlanmış TLS ilkesi
Application Gateway önceden tanımlanmış birkaç güvenlik ilkesi sunar. Uygun güvenlik düzeyini elde etmek için ağ geçidinizi bu ilkelerden herhangi biriyle yapılandırabilirsiniz. İlke adları, yapılandırıldıkları yıla ve aya göre not eklenir (AppGwSslPolicy<YYYYMMDD>). Her ilke farklı TLS protokolü sürümleri ve/veya şifre paketleri sunar. Bu önceden tanımlanmış ilkeler, Microsoft Güvenlik ekibinin en iyi yöntemlerini ve önerilerini göz önünde bulundurarak yapılandırılır. En iyi TLS güvenliğini sağlamak için en yeni TLS ilkelerini kullanmanızı öneririz.
Aşağıdaki tabloda, önceden tanımlanmış her ilke için şifreleme paketlerinin listesi ve en düşük protokol sürümü desteği gösterilmektedir. Şifre paketlerinin sıralanması, TLS anlaşması sırasında öncelik sırasını belirler. Bu önceden tanımlanmış ilkeler için şifre paketlerinin tam sıralamasını öğrenmek için portalda PowerShell, CLI, REST API veya Dinleyiciler dikey penceresine bakabilirsiniz.
| Önceden tanımlanmış ilke adları (AppGwSslPolicy<YYYYMMDD>) | 20150501 | 20170401 | 20170401S | 20220101 | 20220101S |
|---|---|---|---|---|---|
| En Düşük Protokol Sürümü | 1.0 | 1.1 | 1.2 | 1.2 | 1.2 |
| Etkin protokol sürümleri | 1.0 1.1 1.2 |
1.1 1.2 |
1.2 | 1.2 1.3 |
1.2 1.3 |
| Varsayılan | Doğru (API sürüm < 2023-02-01 için) |
Yanlış | Yanlış | Doğru (API sürümü >için = 2023-02-01) |
Yanlış |
| TLS_AES_128_GCM_SHA256 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_AES_256_GCM_SHA384 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
Varsayılan TLS ilkesi
Uygulama ağ geçidi kaynak yapılandırmasında belirli bir SSL İlkesi belirtilmediğinde, varsayılan bir TLS ilkesi uygulanır. Bu varsayılan ilkenin seçimi, söz konusu ağ geçidini oluşturmak için kullanılan API sürümünü temel alır.
- API 2023-02-01 veya üzeri sürümler için en düşük protokol sürümü 1.2 olarak ayarlanır (1.3'e kadar olan sürüm desteklenir). Bu API sürümleriyle oluşturulan ağ geçitleri, kaynak yapılandırmasında defaultPredefinedSslPolicy:AppGwSslPolicy20220101 salt okunur bir özellik görür. Bu özellik, kullanılacak varsayılan TLS ilkesini tanımlar.
- Önceden tanımlanmış AppGwSslPolicy20150501 ilkesini varsayılan olarak kullandıklarından, eski API sürümleri < 2023-02-01 için en düşük protokol sürümü 1.0 olarak ayarlanır (1.2'ye kadar sürümler desteklenir).
Varsayılan TLS gereksiniminize uymuyorsa, farklı bir Önceden Tanımlanmış ilke seçin veya Özel ilke kullanın.
Dekont
Güncelleştirilmiş varsayılan TLS ilkesi için Azure PowerShell ve CLI desteği yakında sunulacaktır.
Özel TLS ilkesi
Gereksinimleriniz için bir TLS ilkesinin yapılandırılması gerekiyorsa, Özel TLS ilkesi kullanabilirsiniz. Özel bir TLS ilkesiyle, desteklenmesi gereken en düşük TLS protokolü sürümünün yanı sıra desteklenen şifreleme paketleri ve bunların öncelik sırası üzerinde tam denetime sahipsiniz.
Dekont
Daha yeni, daha güçlü şifrelemeler ve TLSv1.3 desteği yalnızca CustomV2 ilkesiyle kullanılabilir. Gelişmiş güvenlik ve performans avantajları sağlar.
Önemli
- Application Gateway v1 SKU'da (Standart veya WAF) özel bir SSL ilkesi kullanıyorsanız, zorunlu "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" şifrelemesini listeye eklediğinizden emin olun. Bu şifreleme, Application Gateway v1 SKU'sunda ölçümleri ve günlüğe kaydetmeyi etkinleştirmek için gereklidir. Application Gateway v2 SKU'su (Standard_v2 veya WAF_v2) için bu zorunlu değildir.
- "TLS_AES_128_GCM_SHA256" ve "TLS_AES_256_GCM_SHA384" şifre paketleri TLSv1.3 için zorunlu olur. PowerShell veya CLI aracılığıyla en düşük protokol sürümü 1.2 veya 1.3 olan bir CustomV2 ilkesi ayarlarken bunlardan açıkça bahsetmenize gerek YOKTUR. Buna göre, bu şifreleme paketleri Portal dışında Ayrıntıları Al çıkışında görünmez.
Şifre paketleri
Application Gateway, özel ilkenizi seçebileceğiniz aşağıdaki şifreleme paketlerini destekler. Şifre paketlerinin sıralanması, TLS anlaşması sırasında öncelik sırasını belirler.
- TLS_AES_128_GCM_SHA256 (yalnızca Customv2 ile kullanılabilir)
- TLS_AES_256_GCM_SHA384 (yalnızca Customv2 ile kullanılabilir)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Sınırlamalar
- Arka uç sunucularına yönelik bağlantılar her zaman en düşük protokol TLS v1.0 ile ve TLS v1.2'ye kadardır. Bu nedenle arka uç sunucularıyla güvenli bir bağlantı kurmak için yalnızca TLS 1.0, 1.1 ve 1.2 sürümleri desteklenir.
- Şu andan itibaren TLS 1.3 uygulaması "Sıfır Gidiş Dönüş Süresi (0-RTT)" özelliğiyle etkinleştirilmedi.
- TLS oturumu (Kimlik veya Biletler) yeniden başlatma desteklenmiyor.
- Application Gateway v2 aşağıdaki DHE şifrelemelerini desteklemez. Bunlar, önceden tanımlanmış ilkelerde bahsedilse bile istemcilerle YAPıLAN TLS bağlantıları için kullanılmaz. DHE şifreleri yerine güvenli ve daha hızlı ECDHE şifreleri önerilir.
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- "En Fazla Parça Uzunluğu Anlaşması" desteği arayan kısıtlanmış istemciler daha yeni 2022 Önceden Tanımlanmış veya Customv2 ilkelerini kullanmalıdır.
Sonraki adımlar
TLS ilkesi yapılandırmayı öğrenmek istiyorsanız bkz . Application Gateway'de TLS ilke sürümlerini ve şifreleme paketlerini yapılandırma.