Delen via


Overzicht van AZURE-APP Service TLS

Notitie

Klanten kunnen zich bewust zijn van de buitengebruikstellingsmelding van TLS 1.0 en 1.1 voor interacties met Azure-services. Deze buitengebruikstelling heeft geen invloed op toepassingen die worden uitgevoerd op App Service of Azure Functions. Toepassingen in App Service of Azure Functions die zijn geconfigureerd voor het accepteren van TLS 1.0 of TLS 1.1 voor binnenkomende aanvragen blijven ongewijzigd.

Wat doet TLS in App Service?

Transport Layer Security (TLS) is een veelgebruikt beveiligingsprotocol dat is ontworpen voor het beveiligen van verbindingen en communicatie tussen servers en clients. Met App Service kunnen klanten TLS/SSL-certificaten gebruiken om binnenkomende aanvragen naar hun web-apps te beveiligen. App Service ondersteunt momenteel verschillende TLS-functies voor klanten om hun web-apps te beveiligen.

Tip

U kunt azure Copilot ook deze vragen stellen:

  • Welke versies van TLS worden ondersteund in App Service?
  • Wat zijn de voordelen van het gebruik van TLS 1.3 ten opzichte van eerdere versies?
  • Hoe kan ik de volgorde van de coderingssuite voor mijn App Service Environment wijzigen?

Selecteer Copilot op de werkbalk van Azure Portal om Azure Copilot te vinden.

Ondersteunde TLS-versie in App Service?

Voor binnenkomende aanvragen voor uw web-app ondersteunt App Service TLS-versies 1.0, 1.1, 1.2 en 1.3.

Minimale TLS-versie instellen

Volg deze stappen om de minimale TLS-versie van uw App Service-resource te wijzigen:

  1. Blader naar uw app in Azure Portal
  2. Selecteer in het linkermenu de configuratie en selecteer vervolgens het tabblad Algemene instellingen .
  3. Selecteer bij minimale inkomende TLS-versie met behulp van de vervolgkeuzelijst de gewenste versie.
  4. Als u de wijzigingen wilt opslaan, selecteert u Opslaan.

Minimale TLS-versie met Azure Policy

U kunt Azure Policy gebruiken om uw resources te controleren als het gaat om de minimale TLS-versie. U kunt verwijzen naar App Service-apps die gebruikmaken van de meest recente beleidsdefinitie voor TLS-versies en de waarden wijzigen in de gewenste minimale TLS-versie. Raadpleeg voor vergelijkbare beleidsdefinities voor andere App Service-resources een lijst met ingebouwde beleidsdefinities : Azure Policy voor App Service.

Minimale TLS-versie en minimale TLS-versie van SCM

Met App Service kunt u ook een minimale TLS-versie instellen voor binnenkomende aanvragen voor uw web-app en naar de SCM-site. Standaard is de minimale TLS-versie voor binnenkomende aanvragen voor uw web-app en SCM ingesteld op 1.2 in zowel de portal als de API.

TLS 1.3

Er is een minimale instelling voor TLS Cipher Suite beschikbaar met TLS 1.3. Dit omvat twee coderingssuites bovenaan de volgorde van de coderingssuite:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

TLS 1.0 en 1.1

TLS 1.0 en 1.1 worden beschouwd als verouderde protocollen en worden niet langer beschouwd als veilig. Het wordt over het algemeen aanbevolen voor klanten om TLS 1.2 of hoger te gebruiken als minimale TLS-versie. Bij het maken van een web-app is tls 1.2 de standaard minimale TLS-versie.

Om compatibiliteit met eerdere versies voor TLS 1.0 en TLS 1.1 te garanderen, blijft App Service TLS 1.0 en 1.1 ondersteunen voor binnenkomende aanvragen voor uw web-app. Omdat de standaard minimale TLS-versie is ingesteld op TLS 1.2, moet u de minimale TLS-versieconfiguraties in uw web-app bijwerken naar TLS 1.0 of 1.1, zodat de aanvragen niet worden geweigerd.

Belangrijk

Binnenkomende aanvragen voor web-apps en binnenkomende aanvragen naar Azure worden anders behandeld. App Service blijft TLS 1.0 en 1.1 ondersteunen voor binnenkomende aanvragen voor de web-apps. Voor binnenkomende aanvragen rechtstreeks naar het Azure-besturingsvlak, bijvoorbeeld via ARM- of API-aanroepen, wordt het afgeraden TLS 1.0 of 1.1 te gebruiken.

Minimale TLS-coderingssuite

Notitie

Minimale TLS-coderingssuite wordt ondersteund op Basic-SKU's en hoger in App Service met meerdere tenants.

De minimale TLS-coderingssuite bevat een vaste lijst met coderingssuites met een optimale prioriteitsvolgorde die u niet kunt wijzigen. Het opnieuw ordenen of herpriritiseren van de coderingssuites wordt niet aanbevolen, omdat uw web-apps kunnen worden blootgesteld aan zwakkere versleuteling. U kunt ook geen nieuwe of andere coderingssuites aan deze lijst toevoegen. Wanneer u een minimale coderingssuite selecteert, worden alle minder veilige coderingssuites voor uw web-app automatisch uitgeschakeld zonder dat u selectief enkele zwakkere coderingssuites kunt uitschakelen.

Wat zijn coderingssuites en hoe werken ze in App Service?

Een coderingssuite is een set instructies die algoritmen en protocollen bevat om netwerkverbindingen tussen clients en servers te beveiligen. Standaard kiest het besturingssysteem van de front-end de veiligste coderingssuite die wordt ondersteund door Zowel App Service als de client. Als de client echter alleen zwakke coderingssuites ondersteunt, zou het besturingssysteem van de front-end uiteindelijk een zwakke coderingssuite ophalen die door beide wordt ondersteund. Als uw organisatie beperkingen heeft voor welke coderingssuites niet mogen worden toegestaan, kunt u de minimale eigenschap van de TLS-coderingssuite van uw web-app bijwerken om ervoor te zorgen dat de zwakke coderingssuites worden uitgeschakeld voor uw web-app.

App Service Environment (ASE) V3 met clusterinstelling FrontEndSSLCipherSuiteOrder

Voor App Service-omgevingen met FrontEndSSLCipherSuiteOrder clusterinstelling moet u uw instellingen bijwerken met twee TLS 1.3-coderingssuites (TLS_AES_256_GCM_SHA384 en TLS_AES_128_GCM_SHA256). Nadat de update is bijgewerkt, start u de front-end opnieuw op om de wijziging van kracht te laten worden. U moet nog steeds de twee vereiste coderingssuites opnemen, zoals vermeld in de documenten.

End-to-end TLS-versleuteling

End-to-end TLS-versleuteling (E2E) is beschikbaar in Premium App Service-abonnementen (en verouderde Standard App Service-abonnementen). Front-endverkeer tussen Front-endclusterverkeer tussen de Front-ends van App Service en de werkbelastingen van de toepassing kunnen nu worden versleuteld.

Volgende stappen