Panoramica dei criteri TLS del Gateway applicativo per contenitori
È possibile usare il gateway applicazione di Azure per contenitori per controllare le crittografie TLS in modo da soddisfare gli obiettivi di conformità e sicurezza dell'organizzazione.
I criteri TLS includono la definizione della versione del protocollo TLS, delle suite di crittografia e dell'ordine di preferenza delle crittografie durante l'handshake TLS. Il Gateway applicativo per contenitori offre attualmente due criteri predefiniti tra cui scegliere.
Dettagli sull'utilizzo e sulla versione
- Un criterio TLS personalizzato consente di configurare la versione minima del protocollo, le crittografie e le curve ellittiche per il gateway.
- Se non viene definito alcun criterio TLS, viene usato un criterio TLS predefinito.
- Le suite di crittografia TLS usate per la connessione si basano anche sul tipo di certificato usato. Le suite di crittografia negoziate tra client e Gateway applicativo per contenitori si basano sulla configurazione del listener del gateway definita in YAML. Le suite di crittografia usate per stabilire connessioni tra il Gateway applicativo per contenitori e la destinazione back-end si basano sul tipo di certificati del server presentati dalla destinazione back-end.
Criteri TLS predefiniti
Il Gateway applicativo per contenitori offre due criteri di sicurezza predefiniti. È possibile scegliere uno di questi criteri per ottenere il livello di sicurezza appropriato. I nomi dei criteri sono definiti in base all'anno e al mese (AAAA-MM) di introduzione. Inoltre, può esistere una variante -S per indicare una variante più rigorosa delle crittografie che possono essere negoziate. Ogni criterio offre diverse versioni del protocollo TLS e suite di crittografia. Questi criteri predefiniti vengono configurati tenendo presenti le procedure consigliate e le raccomandazioni del team di Microsoft Security. È consigliabile usare i criteri TLS più recenti per garantire la migliore sicurezza TLS.
La tabella seguente mostra l'elenco delle suite di crittografia e il supporto della versione minima del protocollo per ogni criterio predefinito. L'ordinamento delle suite di crittografia determina l'ordine di priorità durante la negoziazione TLS. Conoscere l'ordinamento esatto delle suite di crittografia per questi criteri predefiniti.
| Nomi di criteri predefiniti | 2023-06 | 2023-06-S |
|---|---|---|
| Versione minima del protocollo | TLS 1.2 | TLS 1.2 |
| Versioni del protocollo abilitate | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Curve ellittiche | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Le versioni del protocollo, le crittografie e le curve ellittiche non specificate nella tabella precedente non sono supportate e non verranno negoziate.
Criteri TLS predefiniti
Se nella configurazione di Kubernetes non è specificato alcun criterio TLS, verrà applicato il criterio predefinito 2023-06.
Come configurare un criterio TLS
I criteri TLS possono essere definiti in una risorsa FrontendTLSPolicy, destinata ai listener del gateway definiti. Specificare un policyType di tipo predefined e scegliere il nome del criterio predefinito: 2023-06 o 2023-06-S
Comando di esempio per creare una nuova risorsa FrontendTLSPolicy con il criterio TLS 2023-06-S predefinito.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF