Kapsayıcılar için Application Gateway TLS ilkesine genel bakış
Kuruluşun uyumluluk ve güvenlik hedeflerini karşılamak üzere TLS şifrelemelerini denetlemek üzere Kapsayıcılar için Azure Uygulaması Lication Gateway'i kullanabilirsiniz.
TLS ilkesi TLS protokol sürümünün tanımını, şifre paketlerini ve TLS el sıkışması sırasında şifrelerin tercih edilen sırasını içerir. Kapsayıcılar için Application Gateway şu anda aralarından seçim yapabileceğiniz iki önceden tanımlanmış ilke sunmaktadır.
Kullanım ve sürüm ayrıntıları
- Özel BIR TLS ilkesi, ağ geçidiniz için en düşük protokol sürümünü, şifreleri ve eliptik eğrileri yapılandırmanıza olanak tanır.
- Hiçbir TLS ilkesi tanımlanmamışsa, varsayılan bir TLS ilkesi kullanılır.
- Bağlantı için kullanılan TLS şifreleme paketleri, kullanılan sertifikanın türüne de bağlıdır. İstemci ile Kapsayıcılar için Application Gateway arasında anlaşmaya varılan şifreleme paketleri, YAML'de tanımlandığı gibi Ağ Geçidi dinleyicisi yapılandırmasını temel alır. Kapsayıcılar için Application Gateway ile arka uç hedefi arasında bağlantı kurarken kullanılan şifreleme paketleri, arka uç hedefi tarafından sunulan sunucu sertifikalarının türünü temel alır.
Önceden tanımlanmış TLS ilkesi
Kapsayıcılar için Application Gateway önceden tanımlanmış iki güvenlik ilkesi sunar. Uygun güvenlik düzeyine ulaşmak için bu ilkelerden birini seçebilirsiniz. İlke adları giriş yıl ve ay (YYYY-MM) ile tanımlanır. Ayrıca, müzakere edilebilecek daha katı bir şifre çeşitlediğini belirtmek için bir -S varyantı bulunabilir. Her ilke farklı TLS protokolü sürümleri ve şifre paketleri sunar. Bu önceden tanımlanmış ilkeler, Microsoft Güvenlik ekibinin en iyi yöntemlerini ve önerilerini göz önünde bulundurarak yapılandırılır. En iyi TLS güvenliğini sağlamak için en yeni TLS ilkelerini kullanmanızı öneririz.
Aşağıdaki tabloda, önceden tanımlanmış her ilke için şifreleme paketlerinin listesi ve en düşük protokol sürümü desteği gösterilmektedir. Şifre paketlerinin sıralanması, TLS anlaşması sırasında öncelik sırasını belirler. Bu önceden tanımlanmış ilkeler için şifre paketlerinin tam sıralamasını bilmek.
| Önceden tanımlanmış ilke adları | 2023-06 | 2023-06-S |
|---|---|---|
| En düşük protokol sürümü | TLS 1.2 | TLS 1.2 |
| Etkin protokol sürümleri | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Eliptik eğriler | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Yukarıdaki tabloda belirtilmeyen protokol sürümleri, şifreler ve eliptik eğriler desteklenmez ve üzerinde anlaşma yapılmaz.
Varsayılan TLS ilkesi
Kubernetes yapılandırmanızda TLS İlkesi belirtilmediğinde, önceden tanımlanmış ilke 2023-06 uygulanır.
TLS ilkesi yapılandırma
TLS ilkesi, tanımlı ağ geçidi dinleyicilerini hedefleyen bir FrontendTLSPolicy kaynağında tanımlanabilir. türünde predefinned bir policyType belirtin ve önceden tanımlanmış ilke adını seçin: 2023-06 veya 2023-06-S
Önceden tanımlanmış TLS ilkesi 2023-06-S ile yeni bir FrontendTLSPolicy kaynağı oluşturmak için örnek komut.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin