Overzicht van TLS-beleid voor Application Gateway for Containers
U kunt Azure-toepassing Gateway for Containers gebruiken om TLS-coderingen te beheren om te voldoen aan de nalevings- en beveiligingsdoelen van de organisatie.
TLS-beleid bevat de definitie van de TLS-protocolversie, coderingssuites en de volgorde waarin coderingen de voorkeur hebben tijdens een TLS-handshake. Application Gateway for Containers biedt momenteel twee vooraf gedefinieerde beleidsregels waaruit u kunt kiezen.
Gebruiks- en versiedetails
- Met een aangepast TLS-beleid kunt u de minimale protocolversie, coderingen en elliptische curven voor uw gateway configureren.
- Als er geen TLS-beleid is gedefinieerd, wordt een standaard-TLS-beleid gebruikt.
- TLS-coderingssuites die voor de verbinding worden gebruikt, zijn ook gebaseerd op het type certificaat dat wordt gebruikt. De coderingssuites die tussen client en Application Gateway for Containers zijn onderhandeld, zijn gebaseerd op de configuratie van de gatewaylistener , zoals gedefinieerd in YAML. De coderingssuites die worden gebruikt bij het tot stand brengen van verbindingen tussen Application Gateway for Containers en het back-enddoel, zijn gebaseerd op het type servercertificaten dat wordt gepresenteerd door het back-enddoel.
Vooraf gedefinieerd TLS-beleid
Application Gateway for Containers biedt twee vooraf gedefinieerde beveiligingsbeleidsregels. U kunt een van deze beleidsregels kiezen om het juiste beveiligingsniveau te bereiken. Beleidsnamen worden gedefinieerd per jaar en maand (JJJJ-MM) van de introductie. Daarnaast kan er een -S-variant bestaan om een striktere variant van coderingen aan te geven die kunnen worden onderhandeld. Elk beleid biedt verschillende TLS-protocolversies en coderingssuites. Deze vooraf gedefinieerde beleidsregels worden geconfigureerd, rekening houdend met de best practices en aanbevelingen van het Microsoft-beveiligingsteam. U wordt aangeraden het nieuwste TLS-beleid te gebruiken om de beste TLS-beveiliging te garanderen.
In de volgende tabel ziet u de lijst met coderingssuites en ondersteuning voor minimale protocolversies voor elk vooraf gedefinieerd beleid. De volgorde van de coderingssuites bepaalt de prioriteitsvolgorde tijdens TLS-onderhandeling. Om de exacte volgorde van de coderingssuites voor deze vooraf gedefinieerde beleidsregels te kennen.
| Vooraf gedefinieerde beleidsnamen | 2023-06 | 2023-06-S |
|---|---|---|
| Minimale protocolversie | TLS 1.2 | TLS 1.2 |
| Ingeschakelde protocolversies | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Elliptische curven | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Protocolversies, coderingen en elliptische curven die niet zijn opgegeven in de bovenstaande tabel, worden niet ondersteund en worden niet onderhandeld.
Standaard TLS-beleid
Wanneer er geen TLS-beleid is opgegeven in uw Kubernetes-configuratie, wordt vooraf gedefinieerd beleid 2023-06 toegepast.
Een TLS-beleid configureren
TLS-beleid kan worden gedefinieerd in een FrontendTLSPolicy-resource , die is gericht op gedefinieerde gatewaylisteners. Geef een policyType van het type predefined op en kies vooraf gedefinieerde beleidsnaam: 2023-06 of 2023-06-S
Voorbeeldopdracht voor het maken van een nieuwe FrontendTLSPolicy-resource met het vooraf gedefinieerde TLS-beleid 2023-06-S.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF