Что такое TLS/SSL в службе приложений Azure?

Протокол TLS — это широко используемый протокол безопасности, предназначенный для защиты подключений и обмена данными между серверами и клиентами. В Службе приложений Azure вы можете использовать сертификаты TLS и SSL для защиты входящих запросов в веб-приложениях.

Служба приложений поддерживает TLS, чтобы обеспечить следующие возможности:

• Шифрование передаваемых данных.
• Проверка подлинности веб-приложений с помощью доверенных сертификатов.
• Предотвращение незаконного изменения данных во время передачи.

Поддержка версий TLS

Служба приложений поддерживает следующие версии TLS для входящих запросов к веб-приложению:

• TLS 1.3. Последняя и самая безопасная версия, теперь полностью поддерживаемая.
• TLS 1.2. Минимальная версия TLS по умолчанию для новых веб-приложений.
• TLS 1.1 и TLS 1.0. Версии, поддерживаемые для обратной совместимости, но не рекомендуется.

Минимальную версию TLS можно настроить для входящих запросов к веб-приложению и сайту диспетчера управления версиями (SCM). По умолчанию для минимального значения задано значение TLS 1.2.

Политика Azure поможет вам проверить ресурсы и минимальную версию TLS. Перейдите в Определение политики для приложений службы, использующих последнюю версию TLS и измените значения на минимальную версию TLS, которую вы хотите, чтобы ваши веб-приложения использовали. Сведения об определениях связанных политик для других ресурсов службы приложений см. в списке встроенных определений политик — Политика Azure для службы приложений.

Протокол TLS 1.3

TLS 1.3 полностью поддерживается в службе приложений и предоставляет несколько улучшений по протоколу TLS 1.2.

• Более надежная безопасность с упрощенными наборами шифров и прямой секретностью.
• Более быстрые рукопожатия для уменьшения задержки.
• Зашифрованные сообщения рукопожатия для повышения конфиденциальности.

Чтобы требовать TLS 1.3 для всех входящих запросов, установите минимальную версию TLS для входящих запросов на TLS 1.3 в портале Azure, Azure CLI или в вашем шаблоне Azure Resource Manager (ARM-шаблоне).

TLS 1.3 поддерживает следующие наборы шифров, которые исправлены и не могут быть настроены.

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

Эти наборы обеспечивают строгое шифрование и автоматически используются при согласовании TLS 1.3.

TLS 1.2

TLS 1.2 — это версия TLS по умолчанию для службы приложений. Он обеспечивает строгое шифрование и широкую совместимость и соответствует стандартам соответствия, таким как стандарт безопасности данных для карт оплаты (PCI DSS). По умолчанию новые веб-приложения и конечные точки SCM используют TLS 1.2, если только вы не измените их.

Служба приложений использует безопасный набор наборов шифров TLS 1.2 для обеспечения зашифрованных подключений и защиты от известных уязвимостей. Хотя для обратной совместимости можно включить TLS 1.1 и TLS 1.0, рекомендуется использовать TLS 1.2 или более поздней версии.

TLS 1.1 и TLS 1.0

TLS 1.1 и TLS 1.0 являются устаревшими протоколами и больше не считаются безопасными. Эти версии поддерживаются только в службе приложений для обратной совместимости и следует избегать, когда это возможно. Минимальная версия TLS по умолчанию для новых приложений — TLS 1.2, и мы рекомендуем перенести приложения, использующие TLS 1.1 или TLS 1.0.

Минимальный набор шифров TLS

Минимальный набор шифров TLS включает фиксированный список наборов шифров, которые имеют оптимальный порядок приоритета, который нельзя изменить. Мы не рекомендуем переупорядочение или повторение наборов шифров, так как это может привести к более слабому шифрованию в веб-приложениях. В этот список также нельзя добавлять новые или разные наборы шифров. При выборе минимального набора шифров система автоматически блокирует все менее безопасные наборы шифров для веб-приложения. Вы не можете выборочно блокировать только некоторые более слабые наборы шифров.

Что такое наборы шифрования и как они работают в Службе приложений?

Набор шифров — это набор инструкций, содержащих алгоритмы и протоколы для защиты сетевых подключений между клиентами и серверами. По умолчанию интерфейсная ОС выбирает наиболее безопасный набор шифров, который поддерживается как службой приложений, так и клиентом. Однако если клиент поддерживает только слабые наборы шифров, интерфейсная ОС выбирает слабый набор шифров. Если ваша организация ограничивает наборы шифров, которые разрешены, можно обновить минимальное свойство набора шифров TLS веб-приложения, чтобы убедиться, что слабые наборы шифров заблокированы для веб-приложения.

Среда службы приложений с параметром кластера FrontEndSSLCipherSuiteOrder

Для сред службы приложений, для которых FrontEndSSLCipherSuiteOrder настроен параметр кластера, обновите параметры, чтобы включить два набора шифров TLS 1.3:

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

После обновления параметра кластера необходимо перезапустить внешний интерфейс, чтобы изменения вступили в силу. Кроме того, необходимо включить два необходимых набора шифров, описанные ранее, даже при обновлении параметров для поддержки TLS 1.3. Если вы уже используете FrontEndSSLCipherSuiteOrder, мы не рекомендуем включить минимальный набор шифров TLS для веб-приложения. Результатом могут быть конфликтующие конфигурации. Настройте только один из этих параметров для управления параметрами набора шифров.

Сквозное шифрование TLS

Сквозное шифрование TLS (E2E) гарантирует, что интерфейсное взаимодействие между рабочими ролей в службе приложений шифруется через TLS. Без этой функции, хотя входящие HTTPS-запросы шифруются на внешних концах, трафик от внешних интерфейсов к рабочим нагрузкам приложения перемещается незашифрованным внутри инфраструктуры Azure.

Протокол TLS E2E помогает обеспечить полное шифрование трафика между:

• Клиенты и интерфейс службы приложений.
• Интерфейсы службы приложений и рабочие процессы, в которые размещается приложение.

Эта функция доступна в:

• Планы службы приложений уровня "Премиум" (рекомендуется для новых развертываний).
• Устаревшие планы службы приложений уровня "Стандартный" (существующие развертывания).

Включение сквозного шифрования TLS

Вы можете включить шифрование TLS E2E с помощью:

• Параметры портала Azure.
• Команды Azure CLI.
• Шаблоны ARM для автоматизации.

После включения шифрования TLS E2E все сообщения внутри кластера для веб-приложения шифруются через TLS, что обеспечивает сквозную защиту данных.

TLS/SSL-сертификаты в службе приложений

Для обслуживания трафика HTTPS служба приложений требует TLS/SSL-сертификат, привязанный к вашему личного домену. Служба приложений предлагает несколько вариантов сертификатов, начиная от полностью управляемых бесплатных сертификатов до сертификатов, управляемых клиентом.

Типы сертификатов

• Управляемые сертификаты службы приложений (бесплатные)

  • Предоставляется без затрат.
  • Полностью управляется службой приложений, включая автоматическое продление.
  • Вы не можете получить доступ, экспортировать или использовать эти сертификаты за пределами службы приложений.
  • Поддержка подстановочных знаков или пользовательских корневых ЦС не поддерживается.

• Сертификаты службы приложений (ASC)

  • Платные сертификаты, выданные GoDaddy.
  • Вы владеете сертификатом и управляете им.
  • Хранится в хранилище ключей. Можно экспортировать и использовать вне службы приложений.

• Принесите свой сертификат (BYOC)

  • Отправка и управление собственными SSL-сертификатами (формат PFX).
  • Полностью управляемая клиентом.

Каждый из этих вариантов обеспечивает гибкость в соответствии с потребностями безопасности и управления.

Привязка сертификатов к пользовательским доменам

После того как вы отправите или создадите сертификат, привяжите его к пользовательскому домену в вашем веб-приложении с помощью:

• Ssl-привязки SNI (указание имени сервера) для мультитенантного размещения.
• Привязки SSL IP для выделенных IP-адресов.

Взаимная проверка подлинности TLS (mTLS)

Служба приложений поддерживает взаимное tls (mTLS) в планах Службы приложений Linux и Windows, чтобы приложения могли требовать сертификаты клиента для дополнительной безопасности.

Как работает mTLS

• Клиенты предоставляют сертификаты, которые проверяются по доверенной цепочке ЦС, которую вы настраиваете.
• Подключиться могут только клиенты с допустимыми сертификатами.
• Обычно используется для защиты API и внутренних приложений.

Параметры конфигурации

• Включите mTLS с помощью портала Azure, Azure CLI или шаблонов ARM.
• Загрузите доверенные сертификаты ЦС для валидации клиента.
• Доступ к сведениям о сертификате клиента в коде приложения с помощью заголовков запросов.

Автоматическое управление сертификатами

Служба приложений предоставляет встроенные функции для автоматического управления сертификатами:

• Управляемые сертификаты службы приложений (бесплатные) Автоматически выдан и продлен для пользовательских доменов. Эти сертификаты ограничены базовой проверкой домена и не поддерживают подстановочные знаки или экспортируемые сертификаты.

• Сертификаты службы приложений (платные). Полностью управляемые сертификаты, поддерживающие расширенные сценарии, включая домены с подстановочными символами и экспортируемые сертификаты. Эти сертификаты хранятся и управляются в Azure Key Vault.

Служба приложений упрощает защиту веб-приложений с помощью TLS и SSL. Благодаря поддержке современных версий TLS, гибким параметрам сертификатов и расширенным функциям, таким как взаимный TLS, App Service помогает защитить данные при передаче и следовать требованиям соответствия.

Связанный контент

• Привязка SSL-сертификатов к пользовательскому домену
• Приобретение сертификатов службы приложений и управление ими
• Настройка взаимного TLS
• Использование сертификатов в коде приложения