Share via

نظرة عامة على نهج TLS الخاص ببوابة التطبيق

  • مقالة

يمكنك استخدام بوابة تطبيق Azure لمركزية إدارة شهادات TLS/SSL وتقليل حمل التشفير وفك التشفير من مزرعة خوادم الواجهة الخلفية. توفر لك معالجة TLS المركزية هذه أيضا تحديد نهج TLS مركزي مناسب لمتطلبات الأمان المؤسسية. يساعدك هذا على تلبية متطلبات التوافق بالإضافة إلى إرشادات الأمان والممارسات الموصى بها.

يتضمن نهج TLS عنصر تحكم في إصدار بروتوكول TLS بالإضافة إلى مجموعات التشفير وترتيب استخدام التشفير أثناء عملية تأكيد اتصال TLS. توفر بوابة التطبيق آليتين عنصر تحكم في نهج TLS. يمكنك استخدام نهج المعرفة في وقت سابق أو نهج مخصص

تفاصيل الاستخدام والإصدار

  • تم تعطيل SSL 2.0 و3.0 لجميع بوابات التطبيق وهي غير قابلة للتكوين.
  • يسمح لك نهج TLS المخصص بتحديد أي بروتوكول TLS كأدنى إصدار بروتوكول للبوابة: TLSv1_0 أو TLSv1_1 أو TLSv1_2 أو TLSv1_3.
  • إذا لم يتم اختيار نهج TLS، يتم تطبيق نهج TLS افتراضي استنادا إلى إصدار واجهة برمجة التطبيقات المستخدم لإنشاء هذا المورد.
  • تتوفر نهج 2022 المعرفة مسبقا و Customv2 التي تدعم TLS v1.3 فقط مع وحدات SKU V2 لبوابة التطبيق (Standard_v2 أو WAF_v2).
  • يؤدي استخدام نهج 2022 محدد مسبقا أو Customv2 إلى تحسين أمان SSL ووضعية الأداء للبوابة بأكملها (لنهج SSL وملف تعريف SSL). ومن ثم، لا يمكن أن تتعايش السياسات القديمة والجديدة على البوابة. يجب استخدام أي من النهج القديمة المعرفة مسبقا أو المخصصة عبر البوابة إذا كان العملاء يحتاجون إلى إصدارات أو شفرات TLS أقدم (على سبيل المثال، TLS v1.0).
  • كما تعتمد مجموعات تشفير TLS المستخدمة للاتصال أيضًا إلى نوع الشهادة المستخدمة. تستند مجموعات التشفير المستخدمة في "اتصالات العميل إلى بوابة التطبيق" إلى نوع شهادات المستمع على بوابة التطبيق. في حين أن مجموعات التشفير المستخدمة في إنشاء "بوابة التطبيق لاتصالات تجمع الخلفية" تستند إلى نوع شهادات الخادم التي تقدمها خوادم الواجهة الخلفية.

نهج TLS المعرفة في وقت سابق

توفر بوابة التطبيق العديد من نهج الأمان المعرفة مسبقا. يمكنك تكوين بوابة خاصة بك مع أي من هذه النهج للحصول على المستوى المناسب من الأمان. يتم إضافة تعليق توضيحي لأسماء النهج حسب السنة والشهر اللذين تم تكوينهما فيه (AppGwSslPolicy<YYYYMMDD>). يوفر كل نهج إصدارات بروتوكول TLS مختلفة و/أو مجموعات التشفير. يتم تكوين هذه النهج المعرفة مسبقا مع مراعاة أفضل الممارسات والتوصيات من فريق Microsoft Security. ننصح باستخدام أحدث نهج TLS لضمان أفضل أمان TLS.

يعرض الجدول التالي قائمة مجموعات التشفير والحد الأدنى من دعم إصدار البروتوكول لكل نهج محدد مسبقا. يحدد ترتيب مجموعات التشفير ترتيب الأولوية أثناء تفاوض TLS. لمعرفة الترتيب الدقيق لمجموعة التشفير لهذه النهج المعرفة مسبقا، يمكنك الرجوع إلى PowerShell أو CLI أو REST API أو شفرة المستمعين في المدخل.

أسماء النهج المعرفة مسبقا (AppGwSslPolicy<YYYYMMDD>) 20150501 20170401 20170401S 20220101 20220101S
الحد الأدنى لإصدار البروتوكول 1.0 1.1 1.2 1.2 1.2
إصدارات البروتوكول الممكنة 1.0
1.1
1.2		 1.1
1.2		 1.2 1.2
1.3		 1.2
1.3
الإعداد الافتراضي صواب
(لإصدار واجهة برمجة التطبيقات < 2023-02-01)		 خطأ خطأ صواب
(لإصدار واجهة برمجة التطبيقات >= 2023-02-01)		 خطأ
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

نهج TLS الافتراضي

عند عدم تحديد نهج SSL محدد في تكوين مورد بوابة التطبيق، يتم تطبيق نهج TLS افتراضي. يستند تحديد هذا النهج الافتراضي إلى إصدار واجهة برمجة التطبيقات المستخدم لإنشاء تلك البوابة.

  • بالنسبة لإصدارات واجهة برمجة التطبيقات 2023-02-01 أو أعلى، يتم تعيين الحد الأدنى لإصدار البروتوكول إلى 1.2 (يتم دعم الإصدار حتى 1.3). سترى البوابات التي تم إنشاؤها باستخدام إصدارات واجهة برمجة التطبيقات هذه خاصية للقراءة فقط defaultPredefinedSslPolicy:AppGwSslPolicy20220101 في تكوين المورد. تحدد هذه الخاصية نهج TLS الافتراضي لاستخدامه.
  • بالنسبة لإصدارات < API الأقدم 2023-02-01، يتم تعيين الحد الأدنى لإصدار البروتوكول إلى 1.0 (يتم دعم الإصدارات حتى 1.2) أثناء استخدام النهج المحدد مسبقا AppGwSslPolicy20150501 كافتراضي.

إذا لم يتناسب TLS الافتراضي مع متطلباتك، فاختر سياسة معرفة مسبقا مختلفة أو استخدم نهج مخصص.

إشعار

سيتوفر دعم Azure PowerShell وCLI لنهج TLS الافتراضي المحدث قريبا.

نهج TLS المخصص

إذا كان هناك حاجة إلى تكوين نهج TLS لمتطلباتك، يمكنك استخدام نهج TLS مخصص. مع نهج TLS مخصصة، لديك عنصر تحكم كامل على إصدار بروتوكول TLS الحد الأدنى لدعم، وكذلك مجموعات التشفير المعتمدة وترتيب الأولوية الخاصة بهم.

إشعار

تتوفر الأصفار الأحدث والأقوى ودعم TLSv1.3 فقط مع نهج CustomV2. ويوفر مزايا محسنة للأمان والأداء.

هام

  • إذا كنت تستخدم نهج SSL مخصص في Application Gateway v1 SKU (قياسي أو WAF)، فتأكد من إضافة التشفير الإلزامي "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" إلى القائمة. هذا التشفير مطلوب لتمكين المقاييس وتسجيل الدخول إلى SKU V1 بوابة التطبيق. هذا ليس إلزاميًا لبوابة التطبيق v2 SKU (قياسي 2أو WAF_v2).
  • مجموعات التشفير "TLS_AES_128_GCM_SHA256" و"TLS_AES_256_GCM_SHA384" إلزامية ل TLSv1.3. لا تحتاج إلى ذكر هذه بشكل صريح عند تعيين نهج CustomV2 مع الحد الأدنى من إصدار البروتوكول 1.2 أو 1.3 من خلال PowerShell أو CLI. وفقا لذلك، لن تظهر مجموعات التشفير هذه في إخراج Get Details، باستثناء Portal.

مجموعات التشفير

تدعم بوابة التطبيق مجموعات التشفير التالية التي يمكنك من خلالها اختيار النهج المخصص. يحدد ترتيب مجموعات التشفير ترتيب الأولوية أثناء تفاوض TLS.

  • TLS_AES_128_GCM_SHA256 (متوفر فقط مع Customv2)
  • TLS_AES_256_GCM_SHA384 (متوفر فقط مع Customv2)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

القيود

  • دائما ما تكون الاتصالات بخوادم الواجهة الخلفية مع الحد الأدنى من بروتوكول TLS v1.0 وما يصل إلى TLS v1.2. لذلك، يتم دعم إصدارات TLS 1.0 و1.1 و1.2 فقط لإنشاء اتصال آمن مع خوادم الواجهة الخلفية.
  • اعتبارا من الآن، لم يتم تمكين تنفيذ TLS 1.3 مع ميزة "Zero Round Trip Time (0-RTT)".
  • استئناف جلسة TLS (المعرف أو التذاكر) غير مدعوم.
  • لا يدعم Application Gateway v2 شفرات DHE التالية. لن يتم استخدام هذه لاتصالات TLS مع العملاء على الرغم من أنها مذكورة في النهج المحددة مسبقا. بدلًا من تشفير DHE، ننصح بشفرات ECDHE آمنة وأسرع.
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • يجب على العملاء المقيدين الذين يبحثون عن دعم "أقصى تفاوض لطول الجزء" استخدام نهج 2022 الأحدث المعرفة مسبقا أو Customv2.

الخطوات التالية

للحصول على معلومات حول كيفية تكوين نهج TLS، راجع تكوين إصدارات نُهج TLS ومجموعات التشفير في بوابة التطبيق