Visão geral do TLS do Serviço de Aplicativo do Azure
Nota
Os clientes podem estar cientes da notificação de desativação do TLS 1.0 e 1.1 para interações com os serviços do Azure. Essa desativação não afeta os aplicativos executados no Serviço de Aplicativo ou no Azure Functions. Os aplicativos no Serviço de Aplicativo ou no Azure Functions configurados para aceitar TLS 1.0 ou TLS 1.1 para solicitações de entrada continuarão a ser executados sem serem afetados.
O que o TLS faz no Serviço de Aplicativo?
Transport Layer Security (TLS) é um protocolo de segurança amplamente adotado projetado para proteger conexões e comunicações entre servidores e clientes. O Serviço de Aplicativo permite que os clientes usem certificados TLS/SSL para proteger solicitações de entrada para seus aplicativos Web. Atualmente, o Serviço de Aplicativo oferece suporte a diferentes conjuntos de recursos TLS para que os clientes protejam seus aplicativos Web.
Gorjeta
Você também pode fazer estas perguntas ao Azure Copilot:
- Quais versões do TLS são suportadas no Serviço de Aplicativo?
- Quais são os benefícios de usar o TLS 1.3 em relação às versões anteriores?
- Como posso alterar a ordem do pacote de codificação para meu Ambiente do Serviço de Aplicativo?
Para localizar o Azure Copilot, na barra de ferramentas do portal do Azure, selecione Copilot.
Versão TLS suportada no Serviço de Aplicativo?
Para solicitações de entrada para seu aplicativo Web, o Serviço de Aplicativo oferece suporte às versões TLS 1.0, 1.1, 1.2 e 1.3.
Definir versão mínima do TLS
Siga estas etapas para alterar a versão TLS mínima do recurso do Serviço de Aplicativo:
- Navegue até seu aplicativo no portal do Azure
- No menu à esquerda, selecione configuração e, em seguida, selecione a guia Configurações gerais .
- Em Versão Mínima de Entrada TLS, usando a lista suspensa, selecione a versão desejada.
- Selecione Guardar para guardar as alterações.
Versão mínima do TLS com a Política do Azure
Você pode usar a Política do Azure para ajudar a auditar seus recursos quando se trata da versão mínima do TLS. Você pode consultar que os aplicativos do Serviço de Aplicativo devem usar a definição de política de versão TLS mais recente e alterar os valores para a versão mínima desejada do TLS. Para obter definições de política semelhantes para outros recursos do Serviço de Aplicativo, consulte Lista de definições de política internas - Política do Azure para Serviço de Aplicativo.
Versão mínima do TLS e versão mínima do TLS do SCM
O Serviço de Aplicativo também permite que você defina a versão mínima do TLS para solicitações de entrada para seu aplicativo Web e para o site do SCM. Por padrão, a versão mínima do TLS para solicitações de entrada para seu aplicativo Web e para o SCM é definida como 1.2 no portal e na API.
TLS 1,3
Uma configuração de Minimum TLS Cipher Suite está disponível com o TLS 1.3. Isso inclui duas suítes de codificação na parte superior da ordem da suíte de codificação:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 e 1.1
TLS 1.0 e 1.1 são considerados protocolos herdados e não são mais considerados seguros. É geralmente recomendado que os clientes usem o TLS 1.2 ou superior como a versão mínima do TLS. Ao criar um aplicativo Web, a versão mínima padrão do TLS é TLS 1.2.
Para garantir compatibilidade com versões anteriores para TLS 1.0 e TLS 1.1, o Serviço de Aplicativo continuará a oferecer suporte a TLS 1.0 e 1.1 para solicitações de entrada para seu aplicativo Web. No entanto, como a versão mínima padrão do TLS está definida como TLS 1.2, você precisa atualizar as configurações mínimas da versão do TLS em seu aplicativo Web para TLS 1.0 ou 1.1 para que as solicitações não sejam rejeitadas.
Importante
As solicitações de entrada para aplicativos Web e as solicitações de entrada para o Azure são tratadas de forma diferente. O Serviço de Aplicativo continuará a oferecer suporte a TLS 1.0 e 1.1 para solicitações de entrada para os aplicativos Web. Para solicitações de entrada diretamente no plano de controle do Azure, por exemplo, por meio de chamadas ARM ou API, não é recomendável usar TLS 1.0 ou 1.1.
Conjunto de codificação TLS mínimo
Nota
O Minimum TLS Cipher Suite é suportado em SKUs básicas e superior no Serviço de Aplicativo multilocatário.
O pacote de codificação TLS mínimo inclui uma lista fixa de pacotes de codificação com uma ordem de prioridade ideal que você não pode alterar. Reordenar ou repriorizar os pacotes de codificação não é recomendado, pois pode expor seus aplicativos Web a uma criptografia mais fraca. Também não é possível adicionar pacotes de codificação novos ou diferentes a esta lista. Quando você seleciona um pacote de codificação mínimo, o sistema desativa automaticamente todos os pacotes de codificação menos seguros para seu aplicativo Web, sem permitir que você desative seletivamente apenas alguns pacotes de codificação mais fracos.
O que são pacotes de codificação e como eles funcionam no Serviço de Aplicativo?
Um conjunto de codificação é um conjunto de instruções que contém algoritmos e protocolos para ajudar a proteger as conexões de rede entre clientes e servidores. Por padrão, o sistema operacional do front-end escolheria o pacote de codificação mais seguro que é suportado pelo Serviço de Aplicativo e pelo cliente. No entanto, se o cliente suportar apenas pacotes de codificação fracos, o sistema operacional do front-end acabaria escolhendo um pacote de codificação fraco que é suportado por ambos. Se sua organização tiver restrições sobre quais pacotes de codificação não devem ser permitidos, você poderá atualizar a propriedade mínima do pacote de codificação TLS do seu aplicativo Web para garantir que os pacotes de codificação fracos sejam desativados para seu aplicativo Web.
Ambiente do Serviço de Aplicativo (ASE) V3 com configuração de cluster FrontEndSSLCipherSuiteOrder
Para Ambientes do Serviço de Aplicativo com FrontEndSSLCipherSuiteOrder
configuração de cluster, você precisa atualizar suas configurações para incluir dois pacotes de codificação TLS 1.3 (TLS_AES_256_GCM_SHA384 e TLS_AES_128_GCM_SHA256). Uma vez atualizado, reinicie o front-end para que a alteração entre em vigor. Você ainda deve incluir os dois pacotes de codificação necessários, conforme mencionado nos documentos.
Criptografia TLS de ponta a ponta
A criptografia TLS de ponta a ponta (E2E) está disponível nos planos Premium do Serviço de Aplicativo (e nos planos herdados do Serviço de Aplicativo Padrão). O tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos agora pode ser criptografado.