Application Gateway for Containers TLS ポリシーの概要
Azure Application Gateway for Containers を使用して、組織のコンプライアンスとセキュリティの目標を満たすために TLS 暗号を制御できます。
TLS ポリシーには、TLS プロトコルのバージョン、暗号スイート、および TLS ハンドシェイク中に暗号が優先される順序の定義が含まれます。 現在、Application Gateway for Containers には、選べる 2 つの定義済みポリシーが用意されています。
使用状況とバージョンの詳細
- カスタム TLS ポリシーを使用すると、ゲートウェイの最小プロトコル バージョン、暗号、楕円曲線を構成できます。
- TLS ポリシーが定義されていない場合は、既定の TLS ポリシーが使用されます。
- 接続に使用される TLS 暗号化スイートはまた、使用される証明書の種類にも基づきます。 クライアントと Application Gateway for Containers の間でネゴシエートされる暗号スイートは、YAML で定義されている "ゲートウェイ リスナー" の構成に基づいています。 Application Gateway for Containers とバックエンド ターゲットの間の接続の確立に使用される暗号スイートは、バックエンド ターゲットによって示されるサーバー証明書の種類に基づいています。
定義済み TLS ポリシー
Application Gateway for Containers には、2 つの定義済みのセキュリティ ポリシーが用意されています。 これらのポリシーのいずれかを選択して、適切なレベルのセキュリティを実現できます。 ポリシー名は、導入の年と月 (YYYY-MM) で定義されます。 さらに、ネゴシエートされる可能性のある暗号のより厳密なバリアントを示すために、-S バリアントが存在する場合があります。 各ポリシーでは、それぞれ異なる TLS プロトコルのバージョンと暗号スイートが提供されます。 これらの定義済みポリシーは、Microsoft セキュリティ チームからのベスト プラクティスと推奨事項を念頭に置いて構成されています。 最新の TLS ポリシーを使用して、最高レベルの TLS セキュリティを設定することをお勧めします。
次のテーブルは、各定義済みポリシーの暗号スイートと最小プロトコル バージョンのサポート リスト を示しています。 暗号スイートの順位により、TLS ネゴシエーション中の優先順位が決定します。 これらの定義済みポリシーの暗号スイートの正確な順序を把握するには。
| 定義済みのポリシー名 | 2023-06 | 2023-06-S |
|---|---|---|
| 最小プロトコル バージョン | TLS 1.2 | TLS 1.2 |
| 有効なプロトコル バージョン | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| 楕円曲線 | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
上の表で指定されていないプロトコル バージョン、暗号、楕円曲線はサポートされておらず、ネゴシエートされません。
既定の TLS ポリシー
Kubernetes 構成内で TLS ポリシーが指定されていない場合は、定義済みのポリシー 2023-06 が適用されます。
TLS ポリシーを構成する方法
TLS ポリシーは、定義されたゲートウェイ リスナーを対象とする FrontendTLSPolicy リソースで定義できます。 predefinned の種類の policyType を指定し、定義済みのポリシー名 (2023-06 または 2023-06-S) を選択します
定義済みの TLS ポリシー 2023-06-S を使用して新しい FrontendTLSPolicy リソースを作成するコマンドの例。
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF