Поделиться через

Обзор TLS службы приложение Azure

  • Статья

Примечание.

Прекращение использования TLS 1.1 и 1.0 в службах Azure не влияет на приложения, работающие на Служба приложений или Функции Azure. Приложения на Служба приложений или Функции Azure, настроенные для принятия TLS 1.0 или TLS 1.1 для входящих запросов, будут продолжать работать без изменений.

Протокол TLS — это широко используемый протокол безопасности, предназначенный для защиты подключений и обмена данными между серверами и клиентами. Служба приложений позволяет клиентам использовать СЕРТИФИКАТЫ TLS/SSL для защиты входящих запросов к веб-приложениям. Служба приложений в настоящее время поддерживает различные наборы функций TLS для клиентов для защиты своих веб-приложений.

Совет

Вы также можете задать azure Copilot на следующие вопросы:

  • Какие версии TLS поддерживаются в Служба приложений?
  • Каковы преимущества использования TLS 1.3 в предыдущих версиях?
  • Как изменить порядок набора шифров для моего Среда службы приложений?

Чтобы найти Azure Copilot, на панели инструментов портал Azure выберите Copilot.

Поддерживаемая версия TLS в Служба приложений?

Для входящих запросов к веб-приложению Служба приложений поддерживает tls версии 1.0, 1.1, 1.2 и 1.3.

Установка минимальной версии TLS

Выполните следующие действия, чтобы изменить минимальную версию TLS ресурса Служба приложений:

  1. Перейдите к приложению в портал Azure
  2. В меню слева выберите конфигурацию и перейдите на вкладку "Общие параметры ".
  3. В минимальной версии TLS для входящего трафика, используя раскрывающийся список, выберите нужную версию.
  4. Выберите Сохранить, чтобы сохранить изменения.

Минимальная версия TLS с Политика Azure

Вы можете использовать Политика Azure для аудита ресурсов, когда речь идет о минимальной версии TLS. Вы можете ссылаться на Служба приложений приложения должны использовать последнее определение политики версии TLS и изменить значения на нужную минимальную версию TLS. Аналогичные определения политик для других ресурсов Служба приложений см. в списке встроенных определений политик Политика Azure для Служба приложений.

Минимальная версия TLS и минимальная версия TLS SCM

Служба приложений также позволяет задать минимальную версию TLS для входящих запросов к веб-приложению и сайту SCM. По умолчанию минимальная версия TLS для входящих запросов к веб-приложению и SCM имеет значение 1.2 на портале и API.

Протокол TLS 1.3

TLS 1.3 — это последняя и самая безопасная версия TLS, поддерживаемая в службе приложение Azure. Он предоставляет значительные улучшения безопасности и производительности по протоколу TLS 1.2, упрощая криптографические алгоритмы, уменьшая задержку подтверждения и повышая шифрование.

Основные преимущества:

  • Более надежная безопасность: удаляет устаревшие наборы шифров, применяет идеальную секретность пересылки (PFS) и шифрует больше процесса подтверждения.
  • Быстрое подтверждение: уменьшает круговые пути, повышая задержку подключения, особенно для повторяющихся сеансов (поддержка 0-RTT).
  • Улучшенная производительность. Использует упрощенные алгоритмы шифрования, которые снижают вычислительные затраты и повышают эффективность.
  • Расширенная конфиденциальность: шифрует сообщения подтверждения, уменьшая воздействие метаданных и уменьшая снижение уровня атак.

Комплекты шифров

Минимальный параметр набора шифров TLS доступен в TLS 1.3. Сюда входят два набора шифров в верхней части порядка набора шифров:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

Так как TLS 1.3 удаляет устаревшие алгоритмы шифрования, рекомендуется для приложений, требующих современных стандартов безопасности, повышения производительности и снижения задержки.

TLS 1.2

TLS 1.2 — это версия TLS по умолчанию для службы приложение Azure. Он обеспечивает надежное шифрование, улучшенную безопасность более старых версий и соответствие отраслевым стандартам, таким как PCI DSS. Так как TLS 1.2 является значением по умолчанию, действие не требуется, если не выполняется миграция из более старой версии TLS. Если в настоящее время приложение использует TLS 1.0 или 1.1, обновление до TLS 1.2 рекомендуется для обеспечения безопасности, производительности и соответствия требованиям. служба приложение Azure поддерживает стандартный набор наборов шифров TLS 1.2, чтобы обеспечить безопасную связь между клиентами и веб-приложением.

TLS 1.0 и 1.1

Протоколы TLS 1.0 и 1.1 считаются устаревшими и больше не считаются безопасными. Для клиентов рекомендуется использовать TLS 1.2 или более поздней версии в качестве минимальной версии TLS. При создании веб-приложения минимальная версия TLS по умолчанию — TLS 1.2.

Чтобы обеспечить обратную совместимость для TLS 1.0 и TLS 1.1, Служба приложений продолжит поддерживать TLS 1.0 и 1.1 для входящих запросов к веб-приложению. Однако, так как минимальная версия TLS по умолчанию имеет значение TLS 1.2, необходимо обновить минимальные конфигурации версий TLS в веб-приложении до TLS 1.0 или 1.1, чтобы запросы не отклонялись.

Внимание

Входящие запросы к веб-приложениям и входящим запросам в Azure обрабатываются по-разному. Служба приложений будет продолжать поддерживать TLS 1.0 и 1.1 для входящих запросов к веб-приложениям. Для входящих запросов непосредственно в плоскость управления Azure, например через вызовы ARM или API, не рекомендуется использовать TLS 1.0 или 1.1.

Минимальный набор шифров TLS

Примечание.

Минимальный набор шифров TLS поддерживается на базовых номерах SKU и более поздних версий в мультитенантных Служба приложений.

Минимальный набор шифров TLS включает фиксированный список наборов шифров с оптимальным порядком приоритета, который нельзя изменить. Переупорядочение или повторение наборов шифров не рекомендуется, так как это может привести к более слабому шифрованию веб-приложений. В этот список также нельзя добавить новые или разные наборы шифров. При выборе минимального набора шифров система автоматически отключает все менее безопасные наборы шифров для веб-приложения, не позволяя выборочно отключать только некоторые более слабые наборы шифров.

Что такое наборы шифров и как они работают на Служба приложений?

Набор шифров — это набор инструкций, содержащих алгоритмы и протоколы для защиты сетевых подключений между клиентами и серверами. По умолчанию операционная система переднего плана выбирает наиболее безопасный набор шифров, поддерживаемый как Служба приложений, так и клиентом. Тем не менее, если клиент поддерживает только слабые наборы шифров, операционная система внешнего интерфейса в конечном итоге выберет слабый набор шифров, поддерживаемый обеими. Если в вашей организации есть ограничения на то, какие наборы шифров не должны быть разрешены, вы можете обновить минимальное свойство набора шифров TLS веб-приложения, чтобы убедиться, что слабые наборы шифров будут отключены для веб-приложения.

Среда службы приложений (ASE) версии 3 с параметром кластераFrontEndSSLCipherSuiteOrder

Для Среда службы приложений с FrontEndSSLCipherSuiteOrder параметром кластера необходимо обновить параметры, чтобы включить два набора шифров TLS 1.3 (TLS_AES_256_GCM_SHA384 и TLS_AES_128_GCM_SHA256). После обновления перезапустите интерфейс, чтобы изменения вступили в силу. Необходимо включить два необходимых набора шифров, как упоминалось в документации.

Сквозное шифрование TLS

Сквозное шифрование TLS (E2E) доступно в планах Служба приложений класса Premium (и устаревших планах Служба приложений уровня "Стандартный"). Теперь внешний трафик внутри кластера между Служба приложений интерфейсами и рабочими нагрузками, работающими с приложениями, теперь можно зашифровать.

Следующие шаги