Поделиться через

Миграция на TLS 1.2 для Azure Resource Manager

  • Статья

Tls — это протокол безопасности, который устанавливает каналы шифрования через компьютерные сети. TLS 1.2 является текущим отраслевым стандартом и поддерживается Azure Resource Manager. Для обратной совместимости Azure Resource Manager также поддерживает более ранние версии, такие как TLS 1.0 и 1.1, но эта поддержка заканчивается.

Чтобы обеспечить соответствие Azure нормативным требованиям и обеспечить улучшенную безопасность для наших клиентов, Azure Resource Manager перестанет поддерживать протоколы старше TLS 1.2 30 сентября 2024 года.

В этой статье приведены рекомендации по удалению зависимостей от старых протоколов безопасности.

Почему миграция на TLS 1.2

TLS шифрует данные, отправленные через Интернет, чтобы предотвратить доступ злоумышленников к частной конфиденциальной информации. Клиент и сервер выполняют подтверждение TLS, чтобы проверить личность друг друга и определить, как они будут взаимодействовать. Во время подтверждения каждая сторона определяет, какие версии TLS они используют. Клиент и сервер могут взаимодействовать, если они поддерживают общую версию.

TLS 1.2 является более безопасным и быстрым, чем его предшественники.

Azure Resource Manager — это служба развертывания и управления для Azure. Azure Resource Manager используется для создания, обновления и удаления ресурсов в учетной записи Azure. Для укрепления безопасности и устранения любых будущих атак с понижением уровня протокола Azure Resource Manager больше не будет поддерживать TLS 1.1 или более ранних версий. Чтобы продолжить использование Azure Resource Manager, убедитесь, что все клиенты, которые вызывают Azure, используют TLS 1.2 или более поздней версии.

Подготовка к миграции в TLS 1.2

Мы рекомендуем выполнить следующие действия при подготовке к переносу клиентов в TLS 1.2.

  • Обновите операционную систему до последней версии.

  • Обновите библиотеки и платформы разработки до последних версий. Например, Python 3.8 поддерживает TLS 1.2.

  • Исправьте жестко закодированные экземпляры протоколов безопасности старше TLS 1.2.

  • Уведомляйте клиентов и партнеров о миграции продукта или службы в TLS 1.2.

Более подробные инструкции см. в списке проверка для отмены устаревших версий TLS в вашей среде.

Краткие советы

  • Windows 8+ имеет протокол TLS 1.2, включенный по умолчанию.

  • Windows Server 2016+ включает TLS 1.2 по умолчанию.

  • По возможности избегайте жесткой кодировки версии протокола. Вместо этого настройте приложения для постоянной отсрочки до версии TLS по умолчанию операционной системы.

    Например, флаг можно включить SystemDefaultTLSVersion в платформа .NET Framework приложениях, чтобы отложить версию операционной системы по умолчанию. Такой подход позволяет приложениям воспользоваться будущими версиями TLS.

    Если не удается избежать жесткой кодировки, укажите TLS 1.2.

  • Обновление приложений, предназначенных для платформа .NET Framework версии 4.5 или более ранних версий. Вместо этого используйте платформа .NET Framework 4.7 или более поздней версии, так как эти версии поддерживают TLS 1.2.

    Например, Visual Studio 2013 не поддерживает TLS 1.2. Вместо этого используйте по крайней мере последний выпуск Visual Studio 2017.

  • Вы можете использовать Лаборатории SSL Qualys , чтобы определить, какая версия TLS запрашивается клиентами, подключающимися к приложению.

  • Вы можете использовать Fiddler для определения версии TLS, используемой клиентом при отправке HTTPS-запросов.

Следующие шаги