Visão geral do TLS do Serviço de Aplicativo do Azure

O que o TLS faz no Serviço de Aplicativo?

Transport Layer Security (TLS) é um protocolo de segurança amplamente adotado projetado para proteger conexões e comunicações entre servidores e clientes. O Serviço de Aplicativo permite que os clientes usem certificados TLS/SSL para proteger solicitações de entrada para seus aplicativos Web. Atualmente, o Serviço de Aplicativo oferece suporte a diferentes conjuntos de recursos TLS para que os clientes protejam seus aplicativos Web.

Versão TLS suportada no Serviço de Aplicativo?

Para solicitações de entrada para seu aplicativo Web, o Serviço de Aplicativo oferece suporte às versões TLS 1.0, 1.1, 1.2 e 1.3.

Definir versão mínima do TLS

Siga estas etapas para alterar a versão TLS mínima do recurso do Serviço de Aplicativo:

1. Navegue até seu aplicativo no portal do Azure
2. No menu à esquerda, selecione configuração e, em seguida, selecione a guia Configurações gerais .
3. Em Versão Mínima de Entrada TLS, usando a lista suspensa, selecione a versão desejada.
4. Selecione Guardar para guardar as alterações.

Versão mínima do TLS com a Política do Azure

Você pode usar a Política do Azure para ajudar a auditar seus recursos quando se trata da versão mínima do TLS. Você pode consultar que os aplicativos do Serviço de Aplicativo devem usar a definição de política de versão TLS mais recente e alterar os valores para a versão mínima desejada do TLS. Para obter definições de política semelhantes para outros recursos do Serviço de Aplicativo, consulte Lista de definições de política internas - Política do Azure para Serviço de Aplicativo.

Versão mínima do TLS e versão mínima do TLS do SCM

O Serviço de Aplicativo também permite que você defina a versão mínima do TLS para solicitações de entrada para seu aplicativo Web e para o site do SCM. Por padrão, a versão mínima do TLS para solicitações de entrada para seu aplicativo Web e para o SCM é definida como 1.2 no portal e na API.

TLS 1,3

Uma configuração de Minimum TLS Cipher Suite está disponível com o TLS 1.3. Isso inclui duas suítes de codificação na parte superior da ordem da suíte de codificação:

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

TLS 1.0 e 1.1

TLS 1.0 e 1.1 são considerados protocolos herdados e não são mais considerados seguros. É geralmente recomendado que os clientes usem o TLS 1.2 ou superior como a versão mínima do TLS. Ao criar um aplicativo Web, a versão mínima padrão do TLS é TLS 1.2.

Para garantir compatibilidade com versões anteriores para TLS 1.0 e TLS 1.1, o Serviço de Aplicativo continuará a oferecer suporte a TLS 1.0 e 1.1 para solicitações de entrada para seu aplicativo Web. No entanto, como a versão mínima padrão do TLS está definida como TLS 1.2, você precisa atualizar as configurações mínimas da versão do TLS em seu aplicativo Web para TLS 1.0 ou 1.1 para que as solicitações não sejam rejeitadas.

Pacote de codificação TLS mínimo (visualização)

O pacote de codificação TLS mínimo inclui uma lista fixa de pacotes de codificação com uma ordem de prioridade ideal que você não pode alterar. Reordenar ou repriorizar os pacotes de codificação não é recomendado, pois pode expor seus aplicativos Web a uma criptografia mais fraca. Também não é possível adicionar pacotes de codificação novos ou diferentes a esta lista. Quando você seleciona um pacote de codificação mínimo, o sistema desativa automaticamente todos os pacotes de codificação menos seguros para seu aplicativo Web, sem permitir que você desative seletivamente apenas alguns pacotes de codificação mais fracos.

O que são pacotes de codificação e como eles funcionam no Serviço de Aplicativo?

Um conjunto de codificação é um conjunto de instruções que contém algoritmos e protocolos para ajudar a proteger as conexões de rede entre clientes e servidores. Por padrão, o sistema operacional do front-end escolheria o pacote de codificação mais seguro que é suportado pelo Serviço de Aplicativo e pelo cliente. No entanto, se o cliente suportar apenas pacotes de codificação fracos, o sistema operacional do front-end acabaria escolhendo um pacote de codificação fraco que é suportado por ambos. Se sua organização tiver restrições sobre quais pacotes de codificação não devem ser permitidos, você poderá atualizar a propriedade mínima do pacote de codificação TLS do seu aplicativo Web para garantir que os pacotes de codificação fracos sejam desativados para seu aplicativo Web.

Ambiente do Serviço de Aplicativo (ASE) V3 com configuração de cluster FrontEndSSLCipherSuiteOrder

Para Ambientes do Serviço de Aplicativo com FrontEndSSLCipherSuiteOrder configuração de cluster, você precisa atualizar suas configurações para incluir dois pacotes de codificação TLS 1.3 (TLS_AES_256_GCM_SHA384 e TLS_AES_128_GCM_SHA256). Uma vez atualizado, reinicie o front-end para que a alteração entre em vigor. Você ainda deve incluir os dois pacotes de codificação necessários, conforme mencionado nos documentos.

Criptografia TLS de ponta a ponta (visualização)

A criptografia TLS de ponta a ponta (E2E) está disponível nos planos Standard App Service e superiores. O tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos agora pode ser criptografado.

Próximos passos

• Proteja um nome DNS personalizado com uma ligação TLS/SSL