Aracılığıyla paylaş


Azure Blob Depolama için TLS 1.2'ye geçiş

1 Nov 2024'te, Azure Blob Depolama Aktarım Katmanı Güvenliği'nin (TLS) 1.0 ve 1.1 sürümlerini desteklemeyi durduracaktır. TLS 1.2, yeni en düşük TLS sürümü olacaktır. Bu değişiklik, tüm bulutlarda TLS 1.0 ve 1.1 kullanan tüm mevcut ve yeni blob depolama hesaplarını etkiler. ZATEN TLS 1.2 kullanan Depolama hesaplar bu değişiklik tarafından etkilenmez.

Depolama hesabınıza bağlanan uygulamalarda kesinti yaşanmasını önlemek için hesabınızın istemcilerin TLS 1.2 kullanarak veri gönderip almasını ve TLS sürüm 1.0 ve 1.1'de bağımlılıkları kaldırmasını gerektirdiğinden emin olmanız gerekir.

Aktarım Katmanı Güvenliği hakkında

Aktarım Katmanı Güvenliği (TLS), uygulamalarınız ve sunucularınız arasındaki iletişimi şifrelemek için ağlar üzerinden şifreleme kanalları oluşturan bir internet güvenlik protokolüdür. Depolama verilerine HTTPS bağlantıları aracılığıyla erişildiğinde, istemci uygulamaları ile depolama hesabı arasındaki iletişim TLS kullanılarak şifrelenir.

TLS, kötü amaçlı kullanıcıların özel, hassas bilgilere erişmesini önlemek için İnternet üzerinden gönderilen verileri şifreler. İstemci ve sunucu, birbirlerinin kimliğini doğrulamak ve nasıl iletişim kuracaklarını belirlemek için bir TLS el sıkışması gerçekleştirir. El sıkışma sırasında, her taraf hangi TLS sürümlerini kullandıklarını tanımlar. her ikisi de ortak bir sürümü destekliyorsa istemci ve sunucu iletişim kurabilir.

NEDEN TLS 1.2 kullanmalısınız?

Müşterilerin Azure Depolama ile TLS 1.2 kullanarak altyapılarının güvenliğini sağlamalarını öneririz. Eski TLS sürümleri (1.0 ve 1.1), gelişen teknoloji ve mevzuat standartlarını (FedRamp, NIST) karşılamak ve müşterilerimiz için gelişmiş güvenlik sağlamak için kullanım dışı bırakılıyor ve kaldırılıyor.

TLS 1.2, modern şifreleme algoritmalarını ve şifreleme paketlerini desteklemeyen TLS 1.0 ve 1.1'den daha güvenli ve daha hızlıdır. Azure depolama kullanan birçok müşteri zaten TLS 1.2 kullanıyor olsa da, tls 1.0 veya 1.1 kullanan müşteriler için bu geçişi hızlandırmaya yönelik diğer yönergeleri paylaşıyoruz.

İstemcileri TLS 1.2 kullanacak şekilde yapılandırma

İlk olarak, hesabınızın Blob Depolama hizmetine istekte bulunan her istemciyi belirleyin. Ardından, her istemcinin bu istekleri yapmak için TLS 1.2 kullandığına emin olun.

Her istemci uygulaması için aşağıdaki görevleri öneririz.

  • İşletim sistemini en son sürüme güncelleştirin.

  • Geliştirme kitaplıklarınızı ve çerçevelerinizi en son sürümlerine güncelleştirin.

  • Eski güvenlik protokolleri TLS 1.0 ve 1.1'in sabit kodlanmış örneklerini düzeltin.

  • İstemcileri TLS 1.2 kullanacak şekilde yapılandırın. Bkz . İstemci uygulaması için Aktarım Katmanı Güvenliğini (TLS) yapılandırma.

Daha ayrıntılı yönergeler için ortamınızdaki eski TLS sürümlerini kullanımdan kaldırma denetim listesine bakın.

Önemli

Ürün veya hizmetinizin TLS 1.2'ye geçişini müşterilerinize ve iş ortaklarınıza bildirerek uygulamalarında gerekli değişiklikleri yapabilmelerini sağlayın.

İzin verilen en düşük sürüm olarak TLS 1.2'yi zorunlu kılma

Kullanımdan kaldırma tarihinden önce Azure ilkesini etkinleştirerek en düşük TLS sürümünü zorunlu kılabilirsiniz.

En düşük TLS sürümünü yapılandırmanın istemci uygulamalarını nasıl etkileyebileceğini anlamak için, Azure Depolama hesabınız için günlüğe kaydetmeyi etkinleştirmenizi ve TLS istemci uygulamalarının hangi sürümlerini kullandığını algılamak için günlükleri bir süre sonra analiz etmenizi öneririz.

TLS'nin eski sürümlerini kullanan istemcilerden gelen trafiğin en düşük düzeyde olduğundan veya TLS'nin eski bir sürümüyle yapılan isteklerin başarısız olmasına ilişkin kabul edilebilir olduğundan eminseniz, depolama hesabınızda en düşük TLS sürümünü zorlamaya başlayabilirsiniz.

İstemci uygulamaları tarafından kullanılan TLS sürümlerini algılamayı ve ardından izin verilen en düşük sürüm olarak TLS 1.2'yi zorlamayı öğrenmek için bkz. Azure Depolama için gelen istekler için Aktarım Katmanı Güvenliği'nin (TLS) en düşük sürümünü zorunlu kılma.

Hızlı İpuçları

  • Windows 8+ varsayılan olarak etkinleştirilmiş TLS 1.2'ye sahiptir.

  • Windows Server 2016+ varsayılan olarak etkinleştirilmiş TLS 1.2'ye sahiptir.

  • Mümkün olduğunda protokol sürümünü sabit kodlamaktan kaçının. Bunun yerine, uygulamalarınızı her zaman işletim sisteminizin varsayılan TLS sürümüne ertelenecek şekilde yapılandırın.

  • Örneğin, işletim sisteminizin varsayılan sürümüne ertelemek için .NET Framework uygulamalarında SystemDefaultTLSVersion bayrağını etkinleştirebilirsiniz. Bu yaklaşım, uygulamalarınızın gelecekteki TLS sürümlerinden yararlanmasına olanak tanır.

  • Sabit kodlamayı önleyemezseniz TLS 1.2'yi belirtin.

  • .NET Framework 4.5 veya önceki sürümleri hedefleyen uygulamaları yükseltin. Bunun yerine, bu sürümler TLS 1.2'yi desteklediği için .NET Framework 4.7 veya üzerini kullanın.

    Örneğin, Visual Studio 2013 TLS 1.2'yi desteklemez. Bunun yerine en azından Visual Studio 2017'nin en son sürümünü kullanın.

  • Uygulamanıza bağlanan istemciler tarafından istenen TLS sürümünü belirlemek için Qualys SSL Labs kullanın.

  • HTTPS istekleri gönderirken istemcinizin hangi TLS sürümünü kullandığını belirlemek için Fiddler'ı kullanın.

Sonraki adımlar