Шифрование TLS с помощью Azure Front Door

Протокол TLS, ранее известный как протокол SSL, является стандартной технологией безопасности для установления зашифрованной связи между веб-сервером и клиентом, например веб-браузером. Эта ссылка гарантирует, что все данные, передаваемые между сервером и клиентом, остаются закрытыми и зашифрованными.

Чтобы обеспечить соответствие требованиям безопасности, Azure Front Door поддерживает шифрование TLS от конца до конца. Разгрузка TLS/SSL Front Door завершает подключение TLS, расшифровывает трафик в Azure Front Door и повторно шифрует трафик, прежде чем перенаправлять его в источник. Если подключения к источнику используют общедоступный IP-адрес источника, рекомендуется настроить HTTPS в качестве протокола пересылки в Azure Front Door. Используя ПРОТОКОЛ HTTPS в качестве протокола пересылки, можно применить сквозное шифрование TLS для всей обработки запроса от клиента к источнику. Разгрузка TLS/SSL также поддерживается при развертывании частного источника с помощью Azure Front Door Premium с помощью функции Приватный канал.

Сквозное шифрование TLS

Сквозной протокол TLS позволяет защитить конфиденциальные данные во время передачи в источник при использовании функций Azure Front Door, таких как глобальная балансировка нагрузки и кэширование. Некоторые функции также включают в себя маршрутизацию на основе URL-адресов, разделение TCP, кэширование в пограничном расположении, ближайшем к клиентам, и настройку HTTP-запросов в пограничной зоне.

Служба Azure Front Door разгружает сеансы TLS в пограничной зоне и расшифровывает клиентские запросы. Затем он применяет настроенные правила маршрутизации для маршрутизации запросов к соответствующему источнику в группе источников. Затем Azure Front Door запускает новое подключение TLS к источнику и повторно шифрует все данные с помощью сертификата источника перед передачей запроса в источник. Любой ответ от источника шифруется с помощью того же процесса обратно пользователю. Вы можете настроить в Azure Front Door протокол HTTPS в качестве протокола переадресации, чтобы включить сквозное шифрование TLS.

Поддерживаемые версии протокола TLS

Azure Front Door поддерживает две версии протокола TLS: TLS версии 1.2 и 1.3. Все профили Azure Front Door, созданные после сентября 2019 г., используют TLS 1.2 как минимум по умолчанию с включенным TLS 1.3. В настоящее время Azure Front Door не поддерживает клиентскую/взаимную аутентификацию (mTLS).

Для Azure Front Door уровня "Стандартный" и "Премиум" можно настроить предопределенную политику TLS или выбрать набор шифров TLS в зависимости от потребностей в безопасности вашей организации. Для получения дополнительной информации см. политику TLS Azure Front Door и настройку политики TLS на пользовательском домене Front Door.

Для классической версии Azure Front Door и Microsoft CDN можно настроить минимальную версию TLS в Azure Front Door в параметрах HTTPS личного домена с помощью портала Azure или REST API Azure. Для минимальной версии TLS 1.2 согласование попытается установить TLS 1.3, а затем TLS 1.2. Когда Azure Front Door инициирует трафик TLS к источнику, он попытается согласовать лучшую версию TLS, которую источник может надежно и согласованно принимать. Поддерживаемые версии TLS для подключений источника: TLS 1.2 и TLS 1.3. Если вы хотите настроить набор шифрования по вашим потребностям, перенесите классическую версию Front Door и классическую версию Microsoft CDN на Azure Front Door уровня "Стандартный" и "Премиум".

Поддерживаемые сертификаты

При создании сертификата TLS/SSL необходимо создать всю цепочку сертификатов с разрешенным центром сертификации (ЦС), который входит в список доверенных ЦС Майкрософт. При использовании неразрешённого ЦС ваш запрос будет отклонен.

Сертификаты из внутренних центров сертификации или самозаверяющиеся сертификаты запрещены.

Объединение статуса по протоколу Online Certificate Status Protocol (OCSP)

Поддержка прикрепления OCSP осуществляется в Azure Front Door по умолчанию, и не требуется никакой настройки.

Соединение TLS с сервером источника (Azure Front Door к серверу источника)

Для подключений HTTPS Azure Front Door ожидает, что источник представляет сертификат из допустимого центра сертификации (ЦС) с именем субъекта, соответствующим имени узла источника. Например, если для имени узла источника установлено значение myapp-centralus.contoso.net, а сертификат, представленный источником во время рукопожатия TLS, не содержит myapp-centralus.contoso.net или *.contoso.net в имени субъекта, то Azure Front Door отклоняет подключение, и клиент видит ошибку.

В некоторых случаях использования, таких как тестирование, можно отключить проверки имени субъекта сертификата для Azure Front Door в качестве обходного решения для устранения неудачных подключений HTTPS. Источник должен по-прежнему предоставлять сертификат с допустимой доверенной цепочкой, но нет необходимости, чтобы он соответствовал hostname источника.

Соединение фронтенд TLS (от клиента к Azure Front Door)

Чтобы включить протокол HTTPS для безопасной доставки содержимого в личном домене Azure Front Door, можно выбрать сертификат, который управляется службой Azure Front Door, или использовать собственный сертификат.

Автоматическое обновление сертификатов

При использовании управляемого сертификата Azure Front Door эта служба осуществляет управление сертификатами и их автоматическую смену в течение 90 дней до истечения срока действия. При использовании опции управляемого сертификата для Azure Front Door (стандарта "Стандартный" или "Премиум"), Azure Front Door управляет сертификатами и выполняет их автоматическую замену в течение 45 дней до истечения срока действия. Если используется управляемый Azure Front Door сертификат и срок действия этого сертификата истекает менее чем через 60 дней (или 30 дней для ценовой категории "Стандартный" или "Премиум"), следует отправить заявку в службу поддержки.

Для пользовательского TLS/SSL-сертификата:

1. Установите для параметра сертификата значение "Последняя версия", чтобы он автоматически обновлялся до последней версии, когда новая версия сертификата станет доступна в хранилище ключей. Для пользовательских сертификатов обновление происходит автоматически каждые 3-4 дня на более новую версию, независимо от срока его действия.

2. Если выбрана определенная версия, авторотация не поддерживается. Вам придется повторно выбрать новую версию вручную, чтобы повернуть сертификат. На развертывание новой версии сертификата (секрета) требуется до 24 часов.

   Примечание.

   Управляемые сертификаты Azure Front Door (категории "Стандартный" и "Премиум") автоматически обновляются, когда запись CNAME домена указывает непосредственно на конечную точку Front Door или косвенно через конечную точку Traffic Manager. В противном случае необходимо повторно проверить владение доменом для смены сертификатов.

   Служебный принципал Front Door нуждается в доступе к ключевому хранилищу. Обновленная операция развертывания сертификатов Azure Front Door не приведет к простоев в работе, если имя субъекта или альтернативное имя субъекта (SAN) для сертификата не изменились.

Поддерживаемые комплекты шифров

Для TLS 1.2/1.3 поддерживаются следующие наборы шифров:

• TLS_AES_256_GCM_SHA384 (только TLS 1.3)
• TLS_AES_128_GCM_SHA256 (только TLS 1.3)
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Используйте политику TLS для настройки определенных наборов шифров. Azure Front Door Standard и Premium предлагают два механизма управления политикой TLS: вы можете использовать предопределенную политику или настраиваемую политику в соответствии с собственными потребностями. Дополнительные сведения см. в статье Настройка политики TLS в пользовательском домене Front Door.

Связанный контент