Översikt över TLS-princip för Application Gateway för containrar
Du kan använda Azure Application Gateway för containrar för att styra TLS-chiffer för att uppfylla organisationens efterlevnads- och säkerhetsmål.
TLS-principen innehåller definitionen av TLS-protokollversionen, chiffersviter och i vilken ordning chiffer föredras under en TLS-handskakning. Application Gateway för containrar erbjuder för närvarande två fördefinierade principer att välja mellan.
Information om användning och version
- Med en anpassad TLS-princip kan du konfigurera lägsta protokollversion, chiffer och elliptiska kurvor för din gateway.
- Om ingen TLS-princip har definierats används en standardprincip för TLS.
- TLS-chiffersviter som används för anslutningen baseras också på vilken typ av certifikat som används. Chiffersviterna som förhandlas mellan klienten och Application Gateway för containrar baseras på gatewaylyssningskonfigurationen enligt definitionen i YAML. Chiffersviterna som används för att upprätta anslutningar mellan Application Gateway för containrar och serverdelsmålet baseras på vilken typ av servercertifikat som visas av serverdelsmålet.
Fördefinierad TLS-princip
Application Gateway för containrar erbjuder två fördefinierade säkerhetsprinciper. Du kan välja någon av dessa principer för att uppnå rätt säkerhetsnivå. Principnamn definieras efter år och månad (ÅÅÅÅ-MM) för introduktion. Dessutom kan det finnas en -S-variant som anger en striktare variant av chiffer som kan förhandlas fram. Varje princip erbjuder olika TLS-protokollversioner och chiffersviter. Dessa fördefinierade principer har konfigurerats med tanke på bästa praxis och rekommendationer från Microsoft Security-teamet. Vi rekommenderar att du använder de senaste TLS-principerna för att säkerställa bästa TLS-säkerhet.
I följande tabell visas listan över chiffersviter och lägsta protokollversionsstöd för varje fördefinierad princip. Ordningen på chiffersviterna avgör prioritetsordningen under TLS-förhandlingen. Att känna till den exakta ordningen på chiffersviterna för dessa fördefinierade principer.
| Fördefinierade principnamn | 2023-06 | 2023-06-S |
|---|---|---|
| Lägsta protokollversion | TLS 1.2 | TLS 1.2 |
| Aktiverade protokollversioner | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Elliptiska kurvor | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Protokollversioner, chiffer och elliptiska kurvor som inte anges i tabellen ovan stöds inte och kommer inte att förhandlas.
Standardprincip för TLS
När ingen TLS-princip anges i Kubernetes-konfigurationen tillämpas fördefinierade princip 2023-06 .
Så här konfigurerar du en TLS-princip
TLS-principen kan definieras i en FrontendTLSPolicy-resurs som riktar sig till definierade gatewaylyssnare. Ange en policyTyp av typen predefined och välj antingen fördefinierat principnamn: 2023-06 eller 2023-06-S
Exempelkommando för att skapa en ny FrontendTLSPolicy-resurs med den fördefinierade TLS-principen 2023-06-S.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF