Übersicht über Application Gateway für Container TLS-Richtlinie
Sie können Azure Application Gateway für Container verwenden, um TLS-Chiffren zu kontrollieren, um die Compliance- und Sicherheitsziele der Organisation zu erfüllen.
Die TLS-Richtlinie umfasst die Definition der TLS-Protokollversion, der Verschlüsselungssuiten und der Reihenfolge, in der Chiffre während eines TLS-Handshakes bevorzugt werden. Das Anwendungsgateway für Container bietet derzeit zwei vordefinierte Richtlinien zur Auswahl.
Nutzungs- und Versionsdetails
- Mit einer benutzerdefinierten TLS-Richtlinie können Sie die Mindestprotokollversion, Verschlüsselungen und elliptische Kurven für Ihr Gateway konfigurieren.
- Wenn keine TLS-Richtlinie definiert ist, wird eine TLS-Standardrichtlinie verwendet.
- Die für die Verbindung verwendeten TLS-Verschlüsselungssammlungen basieren auf dem Typ des verwendeten Zertifikats. Die zwischen Client und Anwendungsgateway für Container ausgehandelten Verschlüsselungsverfahren basieren auf der Gateway-Listener-Konfiguration, wie in YAML definiert. Die Verschlüsselungssuiten, die beim Herstellen von Verbindungen zwischen Application Gateway für Container und dem Back-End-Ziel verwendet werden, basieren auf dem Typ der Serverzertifikate, die vom Back-End-Ziel dargestellt werden.
Vordefinierte TLS-Richtlinie
Das Application Gateway für Container bietet zwei vordefinierte Sicherheitsrichtlinien. Sie können eine dieser Richtlinien auswählen, um das entsprechende Sicherheitsniveau zu erreichen. Richtliniennamen werden nach Jahr und Monat (JJJJ-MM) der Einführung definiert. Darüber hinaus kann eine -S-Variante vorhanden sein, um eine strengere Variante von Verschlüsselungen zu kennzeichnen, die ausgehandelt werden können. Jede Richtlinie bietet verschiedene TLS-Protokollversionen und Verschlüsselungssammlungen. Diese vordefinierten Richtlinien sind konfiguriert, um die bewährten Methoden und Empfehlungen des Microsoft Security-Teams zu berücksichtigen. Verwenden Sie möglichst die neuesten TLS-Richtlinien, um ein Höchstmaß an TLS-Sicherheit zu gewährleisten.
In der folgenden Tabelle finden Sie die Liste der Verschlüsselungssuiten und der Mindestprotokollversionsunterstützung für jede vordefinierte Richtlinie. Die Reihenfolge der Verschlüsselungssammlungen bestimmt ihre Priorität bei der TLS-Aushandlung. Um die genaue Reihenfolge der Verschlüsselungssuiten für diese vordefinierten Richtlinien zu kennen.
| Vordefinierte Richtliniennamen | 2023-06 | 2023-06 S |
|---|---|---|
| Mindestprotokollversion | TLS 1.2 | TLS 1.2 |
| Aktivierte Protokollversionen | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Elliptische Kurven | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Protokollversionen, Verschlüsselungsverfahren und elliptische Kurven, die in der obigen Tabelle nicht angegeben sind, werden nicht unterstützt und auch nicht ausgehandelt.
TLS-Standardrichtlinie
Wenn in Ihrer Kubernetes-Konfiguration keine TLS-Richtlinie angegeben wird, werden vordefinierte Richtlinien 2023-06 angewendet.
Konfigurieren einer TLS-Richtlinie
Die TLS-Richtlinie kann in einer FrontendTLSPolicy-Ressource definiert werden, die auf definierte Gateway-Listener abzielt. Geben Sie einen Richtlinientyp vom Typ predefined an und wählen Sie einen der vordefinierten Richtliniennamen aus: 2023-06 oder 2023-06-S
Beispielbefehl zum Erstellen einer neuen FrontendTLSPolicy-Ressource mit der vordefinierten TLS-Richtlinie 2023-06-S.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF