Udostępnij za pośrednictwem


Omówienie protokołu TLS usługi aplikacja systemu Azure

Uwaga

Klienci mogą znać powiadomienie o wycofaniu protokołu TLS 1.0 i 1.1 w celu interakcji z usługami platformy Azure. Wycofanie nie ma wpływu na aplikacje uruchomione w usłudze App Service lub usłudze Azure Functions. Aplikacje w usłudze App Service lub Usłudze Azure Functions skonfigurowane do akceptowania protokołu TLS 1.0 lub TLS 1.1 dla żądań przychodzących będą nadal działać bez wpływu.

Co robi protokół TLS w usłudze App Service?

Transport Layer Security (TLS) to powszechnie przyjęty protokół zabezpieczeń przeznaczony do zabezpieczania połączeń i komunikacji między serwerami i klientami. Usługa App Service umożliwia klientom używanie certyfikatów TLS/SSL do zabezpieczania żądań przychodzących do swoich aplikacji internetowych. Usługa App Service obsługuje obecnie różne zestawy funkcji TLS dla klientów w celu zabezpieczenia swoich aplikacji internetowych.

Napiwek

Możesz również zadać następujące pytania dotyczące platformy Azure Copilot:

  • Jakie wersje protokołu TLS są obsługiwane w usłudze App Service?
  • Jakie są zalety korzystania z protokołu TLS 1.3 w porównaniu z poprzednimi wersjami?
  • Jak mogę zmienić kolejność zestawu szyfrowania dla mojego środowiska App Service Environment?

Aby znaleźć narzędzie Azure Copilot, na pasku narzędzi witryny Azure Portal wybierz pozycję Copilot.

Obsługiwana wersja protokołu TLS w usłudze App Service?

W przypadku żądań przychodzących do aplikacji internetowej usługa App Service obsługuje protokoły TLS w wersji 1.0, 1.1, 1.2 i 1.3.

Ustawianie minimalnej wersji protokołu TLS

Wykonaj następujące kroki, aby zmienić minimalną wersję protokołu TLS zasobu usługi App Service:

  1. Przechodzenie do aplikacji w witrynie Azure Portal
  2. W menu po lewej stronie wybierz pozycję Konfiguracja , a następnie wybierz kartę Ustawienia ogólne.
  3. Na liście rozwijanej Minimalna wersja protokołu TLS dla ruchu przychodzącego wybierz żądaną wersję.
  4. Wybierz Zapisz, aby zapisać zmiany.

Minimalna wersja protokołu TLS w usłudze Azure Policy

Za pomocą usługi Azure Policy można przeprowadzać inspekcję zasobów, jeśli chodzi o minimalną wersję protokołu TLS. Możesz zapoznać się z tematem Aplikacje usługi App Service powinny używać najnowszej definicji zasad wersji protokołu TLS i zmieniać wartości na żądaną minimalną wersję protokołu TLS. Aby zapoznać się z podobnymi definicjami zasad dla innych zasobów usługi App Service, zobacz Lista wbudowanych definicji zasad — Azure Policy for App Service.

Minimalna wersja protokołu TLS i minimalna wersja protokołu TLS programu SCM

Usługa App Service umożliwia również ustawienie minimalnej wersji protokołu TLS dla żądań przychodzących do aplikacji internetowej i do witryny SCM. Domyślnie minimalna wersja protokołu TLS dla żądań przychodzących do aplikacji internetowej i SCM jest ustawiona na wartość 1.2 w portalu i interfejsie API.

TLS 1.3

Ustawienie minimalnej szyfrowania TLS jest dostępne w przypadku protokołu TLS 1.3. Obejmuje to dwa zestawy szyfrowania w górnej części kolejności szyfrowania:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

Protokoły TLS 1.0 i 1.1

Protokoły TLS 1.0 i 1.1 są uznawane za starsze i nie są już uważane za bezpieczne. Ogólnie zaleca się, aby klienci używali protokołu TLS 1.2 lub nowszego jako minimalnej wersji protokołu TLS. Podczas tworzenia aplikacji internetowej domyślna minimalna wersja protokołu TLS to TLS 1.2.

Aby zapewnić zgodność z poprzednimi wersjami dla protokołów TLS 1.0 i TLS 1.1, usługa App Service będzie nadal obsługiwać protokoły TLS 1.0 i 1.1 dla żądań przychodzących do aplikacji internetowej. Jednak ponieważ domyślna minimalna wersja protokołu TLS jest ustawiona na TLS 1.2, należy zaktualizować minimalną konfigurację wersji protokołu TLS w aplikacji internetowej do protokołu TLS 1.0 lub 1.1, aby żądania nie zostały odrzucone.

Ważne

Żądania przychodzące do aplikacji internetowych i żądań przychodzących do platformy Azure są traktowane inaczej. Usługa App Service będzie nadal obsługiwać protokoły TLS 1.0 i 1.1 dla żądań przychodzących do aplikacji internetowych. W przypadku żądań przychodzących bezpośrednio do płaszczyzny sterowania platformy Azure, na przykład za pośrednictwem wywołań usługi ARM lub interfejsu API, nie zaleca się używania protokołu TLS 1.0 lub 1.1.

Minimalny zestaw szyfrowania TLS

Uwaga

Minimalny pakiet szyfrowania TLS jest obsługiwany w jednostkach SKU w warstwie Podstawowa i nowszy w usłudze App Service z wieloma dzierżawami.

Minimalny zestaw szyfrowania TLS zawiera stałą listę zestawów szyfrowania z optymalną kolejnością priorytetu, której nie można zmienić. Zmiana kolejności lub ponownego pisania pakietów szyfrowania nie jest zalecana, ponieważ może to spowodować, że aplikacje internetowe będą narażone na słabsze szyfrowanie. Nie można również dodawać nowych lub różnych zestawów szyfrowania do tej listy. Po wybraniu minimalnej szyfrowania system automatycznie wyłącza wszystkie mniej bezpieczne zestawy szyfrowania dla aplikacji internetowej bez konieczności selektywnego wyłączania tylko niektórych słabszych zestawów szyfrowania.

Co to są zestawy szyfrowania i jak działają w usłudze App Service?

Zestaw szyfrowania to zestaw instrukcji, które zawierają algorytmy i protokoły ułatwiające zabezpieczanie połączeń sieciowych między klientami i serwerami. Domyślnie system operacyjny frontonu wybiera najbezpieczniejszy pakiet szyfrowania obsługiwany zarówno przez usługę App Service, jak i klienta. Jeśli jednak klient obsługuje tylko słabe zestawy szyfrowania, system operacyjny frontonu zakończy się odebraniem słabego zestawu szyfrowania obsługiwanego przez oba te elementy. Jeśli Twoja organizacja ma ograniczenia dotyczące tego, jakie zestawy szyfrowania nie powinny być dozwolone, możesz zaktualizować minimalną właściwość pakietu szyfrowania TLS aplikacji internetowej, aby upewnić się, że słabe zestawy szyfrowania będą wyłączone dla aplikacji internetowej.

Środowisko App Service Environment (ASE) w wersji 3 z ustawieniem klastra FrontEndSSLCipherSuiteOrder

W przypadku środowisk App Service Environment z FrontEndSSLCipherSuiteOrder ustawieniem klastra należy zaktualizować ustawienia, aby uwzględnić dwa zestawy szyfrowania TLS 1.3 (TLS_AES_256_GCM_SHA384 i TLS_AES_128_GCM_SHA256). Po zaktualizowaniu uruchom ponownie fronton, aby zmiany zaczęły obowiązywać. Nadal musisz uwzględnić dwa wymagane zestawy szyfrowania, jak wspomniano w dokumentacji.

Kompleksowe szyfrowanie TLS

Kompleksowe szyfrowanie TLS (E2E) jest dostępne w planach usługi App Service w warstwie Premium (i starszych planach usługi App Service w warstwie Standardowa). Ruch wewnątrz klastra frontonu między frontonami usługi App Service i procesami roboczymi z uruchomionymi obciążeniami aplikacji można teraz szyfrować.

Następne kroki