Application Gateway TLS ilkesine genel bakış

TLS/SSL sertifika yönetimini merkezileştirmek ve arka uç sunucu grubundan şifreleme ve şifre çözme ek yükünü azaltmak için Azure Uygulaması Lication Gateway'i kullanabilirsiniz. Bu merkezi TLS işleme, kurumsal güvenlik gereksinimlerinize uygun merkezi bir TLS ilkesi belirtmenize de olanak tanır. Bu, uyumluluk gereksinimlerini ve güvenlik yönergelerini ve önerilen uygulamaları karşılamanıza yardımcı olur.

TLS ilkesi, TLS protokol sürümünün yanı sıra şifre paketlerinin ve bir TLS el sıkışması sırasında şifrelerin kullanılma sırasının denetimini içerir. Application Gateway, TLS ilkesini denetlemek için iki mekanizma sunar. Önceden tanımlanmış bir ilke veya özel ilke kullanabilirsiniz.

Kullanım ve sürüm ayrıntıları

  • SSL 2.0 ve 3.0 tüm uygulama ağ geçitleri için devre dışıdır ve yapılandırılamaz.
  • Özel BIR TLS ilkesi, ağ geçidiniz için en düşük protokol sürümü olarak herhangi bir TLS protokolü seçmenize olanak tanır: TLSv1_0, TLSv1_1, TLSv1_2 veya TLSv1_3.
  • Hiçbir TLS ilkesi seçilmezse, bu kaynağı oluşturmak için kullanılan API sürümüne göre varsayılan bir TLS ilkesi uygulanır.
  • TLS v1.3'i destekleyen 2022 Önceden Tanımlanmış ve Customv2 ilkeleri yalnızca Application Gateway V2 SKU'larıyla (Standard_v2 veya WAF_v2) kullanılabilir.
  • 2022 Önceden Tanımlanmış veya Customv2 ilkesi kullanmak, tüm ağ geçidinin SSL güvenliğini ve performans duruşunu geliştirir (SSL İlkesi ve SSL Profili için). Bu nedenle, hem eski hem de yeni ilkeler bir ağ geçidinde birlikte bulunamaz. İstemciler daha eski TLS sürümleri veya şifreleri (örneğin, TLS v1.0) gerektiriyorsa ağ geçidinde önceden tanımlanmış eski veya özel ilkelerden herhangi birini kullanmanız gerekir.
  • Bağlantı için kullanılan TLS şifreleme paketleri, kullanılan sertifikanın türüne de bağlıdır. "İstemciden uygulamaya ağ geçidi bağlantıları" içinde kullanılan şifreleme paketleri, uygulama ağ geçidindeki dinleyici sertifikalarının türünü temel alır. "Arka uç havuzuna uygulama ağ geçidi bağlantıları" oluştururken kullanılan şifreleme paketleri ise arka uç sunucuları tarafından sunulan sunucu sertifikalarının türünü temel alır.

Önceden tanımlanmış TLS ilkesi

Application Gateway önceden tanımlanmış birkaç güvenlik ilkesi sunar. Uygun güvenlik düzeyini elde etmek için ağ geçidinizi bu ilkelerden herhangi biriyle yapılandırabilirsiniz. İlke adları, yapılandırıldıkları yıla ve aya göre not eklenir (AppGwSslPolicy<YYYYMMDD>). Her ilke farklı TLS protokolü sürümleri ve/veya şifre paketleri sunar. Bu önceden tanımlanmış ilkeler, Microsoft Güvenlik ekibinin en iyi yöntemlerini ve önerilerini göz önünde bulundurarak yapılandırılır. En iyi TLS güvenliğini sağlamak için en yeni TLS ilkelerini kullanmanızı öneririz.

Aşağıdaki tabloda, önceden tanımlanmış her ilke için şifreleme paketlerinin listesi ve en düşük protokol sürümü desteği gösterilmektedir. Şifre paketlerinin sıralanması, TLS anlaşması sırasında öncelik sırasını belirler. Bu önceden tanımlanmış ilkeler için şifre paketlerinin tam sıralamasını öğrenmek için portalda PowerShell, CLI, REST API veya Dinleyiciler dikey penceresine bakabilirsiniz.

Önceden tanımlanmış ilke adları (AppGwSslPolicy<YYYYMMDD>) 20150501 20170401 20170401S 20220101 20220101S
En Düşük Protokol Sürümü 1.0 1.1 1.2 1.2 1.2
Etkin protokol sürümleri 1.0
1.1
1.2
1.1
1.2
1.2 1.2
1.3
1.2
1.3
Varsayılan True
(API sürüm < 2023-02-01 için)
False Yanlış Doğru
(API sürümü >için = 2023-02-01)
False
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Varsayılan TLS ilkesi

Uygulama ağ geçidi kaynak yapılandırmasında belirli bir SSL İlkesi belirtilmediğinde, varsayılan bir TLS ilkesi uygulanır. Bu varsayılan ilkenin seçimi, söz konusu ağ geçidini oluşturmak için kullanılan API sürümünü temel alır.

Varsayılan TLS gereksiniminize uymuyorsa, farklı bir Önceden Tanımlanmış ilke seçin veya Özel ilke kullanın.

Not

Güncelleştirilmiş varsayılan TLS ilkesi için Azure PowerShell ve CLI desteği yakında sunulacaktır.

Özel TLS ilkesi

Gereksinimleriniz için bir TLS ilkesinin yapılandırılması gerekiyorsa, Özel TLS ilkesi kullanabilirsiniz. Özel bir TLS ilkesiyle, desteklenmesi gereken en düşük TLS protokolü sürümünün yanı sıra desteklenen şifreleme paketleri ve bunların öncelik sırası üzerinde tam denetime sahipsiniz.

Not

Daha yeni, daha güçlü şifrelemeler ve TLSv1.3 desteği yalnızca CustomV2 ilkesiyle kullanılabilir. Gelişmiş güvenlik ve performans avantajları sağlar.

Önemli

  • Application Gateway v1 SKU'da (Standart veya WAF) özel bir SSL ilkesi kullanıyorsanız, zorunlu "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" şifrelemesini listeye eklediğinizden emin olun. Bu şifreleme, Application Gateway v1 SKU'sunda ölçümleri ve günlüğe kaydetmeyi etkinleştirmek için gereklidir. Application Gateway v2 SKU'su (Standard_v2 veya WAF_v2) için bu zorunlu değildir.
  • "TLS_AES_128_GCM_SHA256" ve "TLS_AES_256_GCM_SHA384" şifre paketleri TLSv1.3 için zorunlu olur. PowerShell veya CLI aracılığıyla en düşük protokol sürümü 1.2 veya 1.3 olan bir CustomV2 ilkesi ayarlarken bunlardan açıkça bahsetmenize gerek YOKTUR. Buna göre, bu şifreleme paketleri Portal dışında Ayrıntıları Al çıkışında görünmez.

Şifre paketleri

Application Gateway, özel ilkenizi seçebileceğiniz aşağıdaki şifreleme paketlerini destekler. Şifre paketlerinin sıralanması, TLS anlaşması sırasında öncelik sırasını belirler.

  • TLS_AES_128_GCM_SHA256 (yalnızca Customv2 ile kullanılabilir)
  • TLS_AES_256_GCM_SHA384 (yalnızca Customv2 ile kullanılabilir)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Sınırlamalar

  • Arka uç sunucularına yönelik bağlantılar her zaman en düşük protokol TLS v1.0 ile ve TLS v1.2'ye kadardır. Bu nedenle arka uç sunucularıyla güvenli bir bağlantı kurmak için yalnızca TLS 1.0, 1.1 ve 1.2 sürümleri desteklenir.
  • Şu andan itibaren TLS 1.3 uygulaması "Sıfır Gidiş Dönüş Süresi (0-RTT)" özelliğiyle etkinleştirilmedi.
  • TLS oturumu (Kimlik veya Biletler) yeniden başlatma desteklenmiyor.
  • Application Gateway v2 aşağıdaki DHE şifrelemelerini desteklemez. Bunlar, önceden tanımlanmış ilkelerde bahsedilse bile istemcilerle YAPıLAN TLS bağlantıları için kullanılmaz. DHE şifreleri yerine güvenli ve daha hızlı ECDHE şifreleri önerilir.
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • "En Fazla Parça Uzunluğu Anlaşması" desteği arayan kısıtlanmış istemciler daha yeni 2022 Önceden Tanımlanmış veya Customv2 ilkelerini kullanmalıdır.

Sonraki adımlar

TLS ilkesi yapılandırmayı öğrenmek istiyorsanız bkz . Application Gateway'de TLS ilke sürümlerini ve şifreleme paketlerini yapılandırma.