Обзор TLS службы приложение Azure

Что делает TLS в Служба приложений?

Протокол TLS — это широко используемый протокол безопасности, предназначенный для защиты подключений и обмена данными между серверами и клиентами. Служба приложений позволяет клиентам использовать СЕРТИФИКАТЫ TLS/SSL для защиты входящих запросов к веб-приложениям. Служба приложений в настоящее время поддерживает различные наборы функций TLS для клиентов для защиты своих веб-приложений.

Поддерживаемая версия TLS в Служба приложений?

Для входящих запросов к веб-приложению Служба приложений поддерживает tls версии 1.0, 1.1, 1.2 и 1.3.

Минимальная версия TLS и минимальная версия TLS SCM

Служба приложений также позволяет задать минимальную версию TLS для входящих запросов к веб-приложению и сайту SCM. По умолчанию минимальная версия TLS для входящих запросов к веб-приложению и SCM будет иметь значение 1.2 на портале и API.

Протокол TLS 1.3

Минимальный параметр набора шифров TLS доступен в TLS 1.3. Сюда входят два набора шифров в верхней части порядка набора шифров:

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

TLS 1.0 и 1.1

Протоколы TLS 1.0 и 1.1 считаются устаревшими и больше не считаются безопасными. Как правило, клиентам рекомендуется использовать TLS 1.2 или более поздней версии в качестве минимальной версии TLS. При создании веб-приложения минимальная версия TLS по умолчанию — TLS 1.2.

Чтобы обеспечить обратную совместимость для TLS 1.0 и TLS 1.1, Служба приложений продолжит поддерживать TLS 1.0 и 1.1 для входящих запросов к веб-приложению. Однако, так как минимальная версия TLS по умолчанию имеет значение TLS 1.2, необходимо обновить минимальные конфигурации версий TLS в веб-приложении до TLS 1.0 или 1.1, чтобы запросы не отклонялись.

Минимальный набор шифров TLS (предварительная версия)

Минимальный набор шифров TLS включает фиксированный список наборов шифров с оптимальным порядком приоритета, который нельзя изменить. Переупорядочение или повторение наборов шифров не рекомендуется, так как это может предоставить веб-приложениям более слабое шифрование. В этот список также нельзя добавить новые или разные наборы шифров. При выборе минимального набора шифров система автоматически отключает все менее безопасные наборы шифров для веб-приложения, не позволяя выборочно отключать только некоторые более слабые наборы шифров.

Что такое наборы шифров и как они работают на Служба приложений?

Набор шифров — это набор инструкций, содержащих алгоритмы и протоколы для защиты сетевых подключений между клиентами и серверами. По умолчанию операционная система переднего плана выбирает наиболее безопасный набор шифров, поддерживаемый как Служба приложений, так и клиентом. Тем не менее, если клиент поддерживает только слабые наборы шифров, операционная система внешнего интерфейса в конечном итоге выберет слабый набор шифров, поддерживаемый обеими. Если в вашей организации есть ограничения на то, какие наборы шифров не должны быть разрешены, вы можете обновить минимальное свойство набора шифров TLS веб-приложения, чтобы убедиться, что слабые наборы шифров будут отключены для веб-приложения.

Среда службы приложений (ASE) версии 3 с параметром кластераFrontEndSSLCipherSuiteOrder

Для Среда службы приложений с FrontEndSSLCipherSuiteOrder параметром кластера необходимо обновить параметры, чтобы включить два набора шифров TLS 1.3 (TLS_AES_256_GCM_SHA384 и TLS_AES_128_GCM_SHA256). После обновления перезапустите интерфейс, чтобы изменения вступили в силу. Необходимо включить два необходимых набора шифров, как упоминалось в документации.

Сквозное шифрование TLS (предварительная версия)

Сквозное шифрование TLS (E2E) доступно в стандартных планах Служба приложений и более поздних версиях. Теперь внешний трафик внутри кластера между Служба приложений интерфейсами и рабочими нагрузками, работающими с приложениями, теперь можно зашифровать.

Следующие шаги

• Защита пользовательского DNS-имени с помощью привязки TLS/SSL