Keamanan Lapisan Transportasi di Azure Backup
Keamanan Lapisan Transportasi (TLS) adalah protokol enkripsi yang menjaga keamanan data saat ditransfer melalui jaringan. Azure Backup menggunakan keamanan lapisan transportasi untuk melindungi privasi data cadangan yang ditransfer. Artikel ini menjelaskan langkah-langkah untuk mengaktifkan protokol TLS 1.2, yang menyediakan keamanan yang ditingkatkan dari versi sebelumnya.
Versi Windows yang lebih lama
Jika komputer menjalankan versi Windows yang lebih lama, pembaruan terkait yang disebutkan di bawah ini harus diinstal dan perubahan registri yang didokumentasikan dalam artikel KB harus diterapkan.
| Sistem Operasi | Artikel KB |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Catatan
Pembaruan akan menginstal komponen protokol yang diperlukan. Setelah instalasi, Anda harus mengubah kunci registri yang disebutkan dalam artikel KB di atas untuk mengaktifkan protokol yang diperlukan dengan benar.
Verifikasi registri Windows
Mengonfigurasi protokol SChannel
Kunci registri berikut memastikan bahwa protokol TLS 1.2 diaktifkan di tingkat komponen SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Catatan
Nilai yang diperlihatkan diatur secara default di Windows Server 2012 R2 dan versi yang lebih baru. Untuk versi Windows ini, jika kunci registri tidak ada, maka tidak perlu dibuat.
Mengonfigurasi .NET Framework
Kunci registri berikut ini mengonfigurasi .NET Framework untuk mendukung kriptografi yang kuat. Anda dapat membaca lebih lanjut tentang mengonfigurasi .NET Framework di sini.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Perubahan Sertifikat Azure TLS
Titik akhir Azure TLS/SSL sekarang berisi sertifikat yang diperbarui yang dirantai hingga CA akar baru. Pastikan bahwa perubahan berikut menyertakan CA akar yang diperbarui. Pelajari selengkapnya tentang kemungkinan dampak pada aplikasi Anda.
Sebelumnya, sebagian besar sertifikat TLS, yang digunakan oleh layanan Azure, dirantai hingga CA Akar berikut:
| Nama umum CA | Thumbprint (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Sekarang, sertifikat TLS, yang digunakan oleh layanan Azure, membantu merantai hingga salah satu CA Akar berikut:
| Nama umum CA | Thumbprint (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Tanya jawab umum
Mengapa mengaktifkan TLS 1.2?
TLS 1.2 lebih aman daripada protokol kriptografi sebelumnya seperti SSL 2.0, SSL 3.0, TLS 1.0, dan TLS 1.1. Layanan Azure Backup sudah sepenuhnya mendukung TLS 1.2.
Apa yang menentukan protokol enkripsi digunakan?
Versi protokol tertinggi yang didukung oleh klien dan server dinegosiasikan untuk membuat percakapan terenkripsi. Untuk informasi selengkapnya tentang protokol jabat tangan TLS, lihat Membuat Sesi Aman menggunakan TLS.
Apa dampak tidak mengaktifkan TLS 1.2?
Untuk meningkatkan keamanan dari serangan turun tingkat protokol, Azure Backup mulai menonaktifkan versi TLS yang lebih lama dari 1.2 secara bertahap. Ini adalah bagian dari pergeseran jangka panjang di seluruh layanan untuk melarang protokol warisan dan koneksi cipher suite. Layanan dan komponen Azure Backup mendukung penuh TLS 1.2. Namun, versi Windows yang tidak memiliki pembaruan yang diperlukan atau konfigurasi sesuai masih dapat mencegah protokol TLS 1.2 ditawarkan. Ini dapat menyebabkan kegagalan, tetapi tidak terbatas pada satu atau beberapa hal berikut:
- Operasi pencadangan dan pemulihan mungkin gagal.
- Kegagalan koneksi komponen cadangan dengan kesalahan 10054 (Koneksi yang ada ditutup secara paksa oleh host jarak jauh).
- Layanan yang terkait dengan Azure Backup tidak akan berhenti atau dimulai seperti biasa.