Visão geral da política TLS do Application Gateway for Containers
Você pode usar o Gateway de Aplicativo do Azure para Contêineres para controlar cifras TLS para atender às metas de conformidade e segurança da organização.
A política TLS inclui a definição da versão do protocolo TLS, pacotes de codificação e ordem na qual as cifras são preferidas durante um handshake TLS. Atualmente, o Application Gateway for Containers oferece duas políticas predefinidas para escolher.
Detalhes de uso e versão
- Uma política TLS personalizada permite configurar a versão mínima do protocolo, cifras e curvas elípticas para seu gateway.
- Se nenhuma política TLS for definida, uma política TLS padrão será usada.
- Os conjuntos de codificação TLS usados para a conexão também são baseados no tipo de certificado que está sendo usado. Os pacotes de codificação negociados entre o cliente e o Application Gateway for Containers são baseados na configuração do ouvinte do Gateway, conforme definido no YAML. Os pacotes de codificação usados no estabelecimento de conexões entre o Application Gateway for Containers e o destino de back-end são baseados no tipo de certificados de servidor apresentados pelo destino de back-end.
Política TLS predefinida
O Application Gateway for Containers oferece duas políticas de segurança predefinidas. Você pode escolher qualquer uma dessas políticas para alcançar o nível apropriado de segurança. Os nomes das políticas são definidos por ano e mês (AAAA-MM) de introdução. Além disso, uma variante -S pode existir para denotar uma variante mais estrita de cifras que podem ser negociadas. Cada política oferece diferentes versões do protocolo TLS e pacotes de codificação. Essas políticas predefinidas são configuradas tendo em mente as práticas recomendadas e as recomendações da equipe de Segurança da Microsoft. Recomendamos que você use as políticas TLS mais recentes para garantir a melhor segurança TLS.
A tabela a seguir mostra a lista de pacotes de codificação e suporte de versão mínima de protocolo para cada política predefinida. A ordenação dos pacotes de codificação determina a ordem de prioridade durante a negociação TLS. Para saber a ordem exata dos pacotes de codificação para essas políticas predefinidas.
| Nomes de políticas predefinidos | 2023-06 | 2023-06-S |
|---|---|---|
| Versão mínima do protocolo | TLS 1.2 | TLS 1.2 |
| Versões de protocolo ativadas | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Curvas elípticas | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Versões de protocolo, cifras e curvas elípticas não especificadas na tabela acima não são suportadas e não serão negociadas.
Política TLS padrão
Quando nenhuma Política TLS for especificada em sua configuração do Kubernetes, a política predefinida 2023-06 será aplicada.
Como configurar uma política TLS
A política TLS pode ser definida em um recurso FrontendTLSPolicy , que tem como alvo ouvintes de gateway definidos. Especifique uma políticaTipo de tipo predefined e use Escolha um nome de política predefinido: 2023-06 ou 2023-06-S
Exemplo de comando para criar um novo recurso FrontendTLSPolicy com a política TLS predefinida 2023-06-S.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF