Omówienie zasad TLS usługi Application Gateway for Containers
Bramę aplikacja systemu Azure dla kontenerów można użyć do kontrolowania szyfrów TLS w celu spełnienia celów zgodności i zabezpieczeń organizacji.
Zasady protokołu TLS obejmują definicję wersji protokołu TLS, zestawów szyfrowania i kolejności, w której szyfry są preferowane podczas uzgadniania protokołu TLS. Usługa Application Gateway for Containers oferuje obecnie dwie wstępnie zdefiniowane zasady do wyboru.
Szczegóły użycia i wersji
- Niestandardowe zasady protokołu TLS umożliwiają skonfigurowanie minimalnej wersji protokołu, szyfrów i wielokropków dla bramy.
- Jeśli nie zdefiniowano żadnych zasad protokołu TLS, są używane domyślne zasady protokołu TLS.
- Zestawy szyfrowania TLS używane na potrzeby połączenia są również oparte na typie używanego certyfikatu. Zestawy szyfrowania negocjowane między klientem a usługą Application Gateway dla kontenerów są oparte na konfiguracji odbiornika bramy zgodnie z definicją w języku YAML. Zestawy szyfrowania używane podczas nawiązywania połączeń między usługą Application Gateway for Containers i obiektem docelowym zaplecza są oparte na typie certyfikatów serwera prezentowanych przez obiekt docelowy zaplecza.
Wstępnie zdefiniowane zasady protokołu TLS
Usługa Application Gateway for Containers oferuje dwie wstępnie zdefiniowane zasady zabezpieczeń. Możesz wybrać jedną z tych zasad, aby osiągnąć odpowiedni poziom zabezpieczeń. Nazwy zasad są definiowane przez rok i miesiąc (RRRR-MM) wprowadzenia. Ponadto wariant -S może istnieć, aby określić bardziej rygorystyczny wariant szyfrów, które mogą być negocjowane. Każda zasada oferuje różne wersje protokołów TLS i zestawy szyfrowania. Te wstępnie zdefiniowane zasady są konfigurowane zgodnie z najlepszymi rozwiązaniami i zaleceniami zespołu ds. zabezpieczeń firmy Microsoft. Zalecamy użycie najnowszych zasad protokołu TLS w celu zapewnienia najlepszych zabezpieczeń protokołu TLS.
W poniższej tabeli przedstawiono listę zestawów szyfrowania i minimalną obsługę wersji protokołu dla każdej wstępnie zdefiniowanej zasady. Kolejność zestawów szyfrowania określa kolejność priorytetów podczas negocjacji protokołu TLS. Aby poznać dokładną kolejność zestawów szyfrowania dla tych wstępnie zdefiniowanych zasad.
| Wstępnie zdefiniowane nazwy zasad | 2023-06 | 2023-06-S |
|---|---|---|
| Minimalna wersja protokołu | TLS 1.2 | TLS 1.2 |
| Wersje protokołów z włączoną obsługą | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Krzywe wielokropowe | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Wersje protokołu, szyfry i krzywe wielokropkowe, które nie zostały określone w powyższej tabeli, nie są obsługiwane i nie zostaną wynegocjowane.
Domyślne zasady protokołu TLS
Jeśli w konfiguracji platformy Kubernetes nie określono żadnych zasad protokołu TLS, zostaną zastosowane wstępnie zdefiniowane zasady 2023-06 .
Jak skonfigurować zasady protokołu TLS
Zasady TLS można zdefiniować w zasobie FrontendTLSPolicy , który jest przeznaczony dla zdefiniowanych odbiorników bramy. Określ typ policyType predefined i wybierz wstępnie zdefiniowaną nazwę zasad: 2023-06 lub 2023-06-S
Przykładowe polecenie umożliwiające utworzenie nowego zasobu FrontendTLSPolicy ze wstępnie zdefiniowanymi zasadami TLS 2023-06-S.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF