Panoramica di TLS del servizio app di Azure

Nota

Il ritiro di TLS 1.1 e 1.0 nei servizi di Azure non influisce sulle applicazioni in esecuzione su servizio app o Funzioni di Azure. Le applicazioni in servizio app o Funzioni di Azure configurate per accettare TLS 1.0 o TLS 1.1 per le richieste in ingresso continueranno a essere eseguite in modo non interessato.

Transport Layer Security (TLS) è un protocollo di sicurezza ampiamente adottato per proteggere le connessioni e le comunicazioni tra server e client. Il servizio app consente ai clienti di usare certificati TLS/SSL per proteggere le richieste in ingresso alle app Web. Il servizio app supporta attualmente diversi set di funzionalità TLS per consentire ai clienti di proteggere le app Web.

Suggerimento

È anche possibile porre queste domande a Azure Copilot:

• Quali versioni di TLS sono supportate nel servizio app?
• Quali sono i vantaggi dell'uso di TLS 1.3 rispetto alle versioni precedenti?
• Come è possibile modificare l'ordine della suite di crittografia per l'ambiente del servizio app?

Per trovare Copilot di Azure, nella barra degli strumenti del portale di Azure selezionare Copilot.

La versione TLS è supportata nel servizio app?

Per le richieste in ingresso all'app Web, il servizio app supporta TLS versioni 1.0, 1.1, 1.2 e 1.3.

Impostare la versione minima di TLS

Seguire questa procedura per modificare la versione minima di TLS della risorsa servizio app:

1. Passare all'app nel portale di Azure
2. Nel menu a sinistra selezionare configurazione e quindi selezionare la scheda Impostazioni generali.
3. In Versione MINIMA TLS in ingresso, usando l'elenco a discesa, selezionare la versione desiderata.
4. Seleziona Salva per salvare le modifiche.

Versione minima di TLS con Criteri di Azure

È possibile usare Criteri di Azure per controllare le risorse quando si tratta di una versione minima di TLS. È possibile fare riferimento alle app servizio app devono usare la definizione dei criteri di versione TLS più recente e modificare i valori alla versione minima di TLS desiderata. Per definizioni di criteri simili per altre risorse di servizio app, vedere Elenco di definizioni di criteri predefinite - Criteri di Azure per servizio app.

Versione minima di TLS e versione minima di TLS SCM

Il servizio app consente anche di impostare la versione minima di TLS per le richieste in ingresso all'app Web e al sito SCM. Per impostazione predefinita, la versione minima di TLS per le richieste in ingresso all'app Web e a SCM è impostata su 1.2 sia nel portale che nell'API.

TLS 1.3

TLS 1.3 è la versione TLS più recente e sicura supportata nel servizio app Azure. Introduce miglioramenti significativi della sicurezza e delle prestazioni rispetto a TLS 1.2 semplificando gli algoritmi di crittografia, riducendo la latenza di handshake e migliorando la crittografia.

I vantaggi principali includono:

• Maggiore sicurezza: rimuove i pacchetti di crittografia obsoleti, applica perfect forward secret (PFS) e crittografa più del processo di handshake.
• Handshake più veloce: riduce i round trip, migliorando la latenza di connessione, soprattutto per le sessioni ripetute (supporto 0-RTT).
• Prestazioni migliori: usa algoritmi di crittografia semplificati che riduce il sovraccarico di calcolo e migliora l'efficienza.
• Privacy avanzata: crittografa i messaggi di handshake, riducendo l'esposizione dei metadati e attenuando gli attacchi di downgrade.

Pacchetti di crittografia

Un'impostazione minima di TLS Cipher Suite è disponibile con TLS 1.3. Sono incluse due suite di crittografia all'inizio dell'ordine della suite di crittografia:

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

Poiché TLS 1.3 rimuove gli algoritmi di crittografia legacy, è consigliabile per le applicazioni che richiedono standard di sicurezza moderni, prestazioni migliorate e latenza ridotta.

TLS 1.2

TLS 1.2 è la versione TLS predefinita per app Azure Servizio. Offre crittografia avanzata, maggiore sicurezza rispetto alle versioni precedenti e conformità agli standard di settore, ad esempio PCI DSS. Poiché TLS 1.2 è l'impostazione predefinita, non è necessaria alcuna azione a meno che non si esegua la migrazione da una versione precedente di TLS. Se l'app usa attualmente TLS 1.0 o 1.1, è consigliabile aggiornare a TLS 1.2 per mantenere la sicurezza, le prestazioni e la conformità. app Azure Servizio supporta un set predefinito di pacchetti di crittografia TLS 1.2 per garantire la comunicazione sicura tra i client e l'app Web.

TLS 1.0 e 1.1

TLS 1.0 e 1.1 sono considerati protocolli legacy e non sono più considerati sicuri. È consigliabile che i clienti usino TLS 1.2 o versione successiva come versione minima di TLS. Quando si crea un'app Web, la versione minima predefinita di TLS è TLS 1.2.

Per garantire la compatibilità con le versioni precedenti per TLS 1.0 e TLS 1.1, il servizio app continuerà a supportare TLS 1.0 e 1.1 per le richieste in ingresso all'app Web. Tuttavia, poiché la versione minima predefinita di TLS è impostata su TLS 1.2, è necessario aggiornare le configurazioni minime della versione TLS nell'app Web a TLS 1.0 o 1.1 in modo che le richieste non vengano rifiutate.

Importante

Le richieste in ingresso alle app Web e alle richieste in ingresso ad Azure vengono trattate in modo diverso. Il servizio app continuerà a supportare TLS 1.0 e 1.1 per le richieste in ingresso alle app Web. Per le richieste in ingresso direttamente al piano di controllo di Azure, ad esempio tramite chiamate ARM o API, non è consigliabile usare TLS 1.0 o 1.1.

Suite di crittografia TLS minima

Nota

Tls Cipher Suite è supportato in SKU Basic e versioni successive in servizio app multi-tenant.

La suite di crittografia TLS minima include un elenco fisso di pacchetti di crittografia con un ordine di priorità ottimale che non è possibile modificare. Non è consigliabile riordinare o riordinare le suite di crittografia perché potrebbe esporre le app Web a una crittografia più debole. Non è inoltre possibile aggiungere pacchetti di crittografia nuovi o diversi a questo elenco. Quando si seleziona una suite di crittografia minima, il sistema disabilita automaticamente tutte le suite di crittografia meno sicure per l'app Web, senza consentire di disabilitare selettivamente solo alcune suite di crittografia più deboli.

Che cosa sono i pacchetti di crittografia e come funzionano nel servizio app?

Una suite di crittografia è un set di istruzioni che contiene algoritmi e protocolli per proteggere le connessioni di rete tra client e server. Per impostazione predefinita, il sistema operativo front-end sceglierebbe la suite di crittografia più sicura supportata sia dal servizio app che dal client. Tuttavia, se il client supporta solo suite di crittografia deboli, il sistema operativo del front-end finirà per raccogliere una suite di crittografia debole supportata da entrambi. Se l'organizzazione ha restrizioni sulle suite di crittografia non consentite, è possibile aggiornare la proprietà minima della suite di crittografia TLS dell'app Web per assicurarsi che le suite di crittografia vulnerabili vengano disabilitate per l'app Web.

Ambiente del servizio app V3 con impostazione del cluster FrontEndSSLCipherSuiteOrder

Per gli ambienti del servizio app con l'impostazione del cluster FrontEndSSLCipherSuiteOrder, è necessario aggiornare le impostazioni per includere due suite di crittografia TLS 1.3 (TLS_AES_256_GCM_SHA384 e TLS_AES_128_GCM_SHA256). Dopo l'aggiornamento, riavviare il front-end per rendere effettiva la modifica. È comunque necessario includere le due suite di crittografia necessarie, come indicato nella documentazione.

Crittografia TLS end-to-end

La crittografia TLS end-to-end (E2E) è disponibile nei piani di servizio app Premium (e nei piani di servizio app Standard legacy). Il traffico front-end all'interno del cluster tra front-end del servizio app e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione possono ora essere crittografati.

Passaggi successivi

• Proteggere un nome DNS personalizzato con un'associazione TLS/SSL