Обзор TLS службы приложение Azure
Что делает TLS в Служба приложений?
Протокол TLS — это широко используемый протокол безопасности, предназначенный для защиты подключений и обмена данными между серверами и клиентами. Служба приложений позволяет клиентам использовать СЕРТИФИКАТЫ TLS/SSL для защиты входящих запросов к веб-приложениям. Служба приложений в настоящее время поддерживает различные наборы функций TLS для клиентов для защиты своих веб-приложений.
Совет
Вы также можете задать azure Copilot на следующие вопросы:
- Какие версии TLS поддерживаются в Служба приложений?
- Каковы преимущества использования TLS 1.3 в предыдущих версиях?
- Как изменить порядок набора шифров для моего Среда службы приложений?
Чтобы найти Azure Copilot, на панели инструментов портал Azure выберите Copilot.
Поддерживаемая версия TLS в Служба приложений?
Для входящих запросов к веб-приложению Служба приложений поддерживает tls версии 1.0, 1.1, 1.2 и 1.3.
Минимальная версия TLS и минимальная версия TLS SCM
Служба приложений также позволяет задать минимальную версию TLS для входящих запросов к веб-приложению и сайту SCM. По умолчанию минимальная версия TLS для входящих запросов к веб-приложению и SCM будет иметь значение 1.2 на портале и API.
Протокол TLS 1.3
Минимальный параметр набора шифров TLS доступен в TLS 1.3. Сюда входят два набора шифров в верхней части порядка набора шифров:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 и 1.1
Протоколы TLS 1.0 и 1.1 считаются устаревшими и больше не считаются безопасными. Как правило, клиентам рекомендуется использовать TLS 1.2 или более поздней версии в качестве минимальной версии TLS. При создании веб-приложения минимальная версия TLS по умолчанию — TLS 1.2.
Чтобы обеспечить обратную совместимость для TLS 1.0 и TLS 1.1, Служба приложений продолжит поддерживать TLS 1.0 и 1.1 для входящих запросов к веб-приложению. Однако, так как минимальная версия TLS по умолчанию имеет значение TLS 1.2, необходимо обновить минимальные конфигурации версий TLS в веб-приложении до TLS 1.0 или 1.1, чтобы запросы не отклонялись.
Внимание
Входящие запросы к веб-приложениям и входящим запросам в Azure обрабатываются по-разному. Служба приложений будет продолжать поддерживать TLS 1.0 и 1.1 для входящих запросов к веб-приложениям. Для входящих запросов непосредственно в Azure, например через ARM или API, не рекомендуется использовать TLS 1.0 или 1.1.
Минимальный набор шифров TLS (предварительная версия)
Примечание.
Минимальный набор шифров TLS поддерживается в номерах SKU уровня "Премиум" и более поздних версий в мультитенантных Служба приложений.
Минимальный набор шифров TLS включает фиксированный список наборов шифров с оптимальным порядком приоритета, который нельзя изменить. Переупорядочение или повторение наборов шифров не рекомендуется, так как это может предоставить веб-приложениям более слабое шифрование. В этот список также нельзя добавить новые или разные наборы шифров. При выборе минимального набора шифров система автоматически отключает все менее безопасные наборы шифров для веб-приложения, не позволяя выборочно отключать только некоторые более слабые наборы шифров.
Что такое наборы шифров и как они работают на Служба приложений?
Набор шифров — это набор инструкций, содержащих алгоритмы и протоколы для защиты сетевых подключений между клиентами и серверами. По умолчанию операционная система переднего плана выбирает наиболее безопасный набор шифров, поддерживаемый как Служба приложений, так и клиентом. Тем не менее, если клиент поддерживает только слабые наборы шифров, операционная система внешнего интерфейса в конечном итоге выберет слабый набор шифров, поддерживаемый обеими. Если в вашей организации есть ограничения на то, какие наборы шифров не должны быть разрешены, вы можете обновить минимальное свойство набора шифров TLS веб-приложения, чтобы убедиться, что слабые наборы шифров будут отключены для веб-приложения.
Среда службы приложений (ASE) версии 3 с параметром кластераFrontEndSSLCipherSuiteOrder
Для Среда службы приложений с FrontEndSSLCipherSuiteOrder
параметром кластера необходимо обновить параметры, чтобы включить два набора шифров TLS 1.3 (TLS_AES_256_GCM_SHA384 и TLS_AES_128_GCM_SHA256). После обновления перезапустите интерфейс, чтобы изменения вступили в силу. Необходимо включить два необходимых набора шифров, как упоминалось в документации.
Сквозное шифрование TLS (предварительная версия)
Сквозное шифрование TLS (E2E) доступно в стандартных планах Служба приложений и более поздних версиях. Теперь внешний трафик внутри кластера между Служба приложений интерфейсами и рабочими нагрузками, работающими с приложениями, теперь можно зашифровать.