Přehled zásad TLS pro službu Application Gateway pro kontejnery
Bránu Aplikace Azure lication pro kontejnery můžete použít k řízení šifer PROTOKOLU TLS, abyste splnili cíle dodržování předpisů a zabezpečení organizace.
Zásady TLS zahrnují definici verze protokolu TLS, šifrovacích sad a pořadí, ve kterém jsou při použití metody handshake protokolu TLS upřednostňované šifry. Application Gateway pro kontejnery aktuálně nabízí dvě předdefinované zásady, ze které si můžete vybrat.
Podrobnosti o využití a verzi
- Vlastní zásada PROTOKOLU TLS umožňuje nakonfigurovat minimální verzi protokolu, šifry a eliptické křivky pro vaši bránu.
- Pokud není definována žádná zásada PROTOKOLU TLS, použije se výchozí zásada PROTOKOLU TLS.
- Šifrovací sady TLS používané pro připojení jsou také založené na typu použitého certifikátu. Šifrovací sady vyjednané mezi klientem a službou Application Gateway pro kontejnery jsou založené na konfiguraci naslouchacího procesu brány, jak je definováno v YAML. Šifrovací sady používané při navazování připojení mezi službou Application Gateway pro kontejnery a cílem back-endu jsou založené na typu certifikátů serveru prezentovaných cílem back-endu.
Předdefinované zásady TLS
Application Gateway for Containers nabízí dvě předdefinované zásady zabezpečení. Můžete zvolit některou z těchto zásad, abyste dosáhli odpovídající úrovně zabezpečení. Názvy zásad jsou definovány podle roku a měsíce (YYYY-MM) úvodu. Kromě toho může existovat varianta -S , která označuje přísnější variantu šifer, které mohou být vyjednány. Každá zásada nabízí různé verze protokolu TLS a šifrovací sady. Tyto předdefinované zásady se konfigurují s ohledem na osvědčené postupy a doporučení od týmu zabezpečení Microsoftu. Doporučujeme používat nejnovější zásady TLS, abyste zajistili nejlepší zabezpečení protokolu TLS.
Následující tabulka uvádí seznam šifrovacích sad a minimální podpory verzí protokolu pro každou předdefinovanou zásadu. Pořadí řazení šifrovacích sad určuje pořadí priority během vyjednávání protokolu TLS. Pokud chcete zjistit přesné pořadí šifrovacích sad pro tyto předdefinované zásady.
| Předdefinované názvy zásad | 2023-06 | 2023-06-S |
|---|---|---|
| Minimální verze protokolu | TLS 1.2 | TLS 1.2 |
| Povolené verze protokolu | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Eliptické křivky | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Verze protokolů, šifry a eliptické křivky, které nejsou uvedené v tabulce výše, nejsou podporované a nebudou vyjednány.
Výchozí zásady TLS
Pokud v konfiguraci Kubernetes nezadáte žádné zásady TLS, použijí se předdefinované zásady 2023-06 .
Postup konfigurace zásad PROTOKOLU TLS
Zásady TLS je možné definovat v prostředku FrontendTLSPolicy , který cílí na definované naslouchací procesy brány. Zadejte typ zásady predefined a použijte předdefinovaný název zásady: 2023-06 nebo 2023-06-S
Příklad příkazu pro vytvoření nového prostředku FrontendTLSPolicy s předdefinovanými zásadami TLS 2023-06-S
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF