Gambaran umum kebijakan Application Gateway TLS
Anda dapat menggunakan Azure Application Gateway untuk mempusatkan manajemen sertifikat TLS/SSL dan mengurangi overhead enkripsi dan dekripsi dari farm server backend. Penanganan TLS terpusat ini juga memungkinkan Anda menentukan kebijakan TLS terpusat yang sesuai dengan persyaratan keamanan organisasi Anda. Ini membantu Anda memenuhi persyaratan kepatuhan serta panduan keamanan dan praktik yang direkomendasikan.
Kebijakan TLS termasuk kontrol versi protokol TLS serta cipher suite dan urutan di mana cipher digunakan selama jabat tangan TLS. Application Gateway menawarkan dua mekanisme untuk mengontrol kebijakan TLS. Anda dapat menggunakan kebijakan yang telah ditentukan sebelumnya atau kebijakan kustom.
Detail penggunaan dan versi
- SSL 2.0 dan 3.0 dinonaktifkan untuk semua gateway aplikasi dan tidak dapat dikonfigurasi.
- Kebijakan TLS kustom memungkinkan Anda memilih protokol TLS apa pun sebagai versi protokol minimum untuk gateway Anda: TLSv1_0, TLSv1_1, TLSv1_2, atau TLSv1_3.
- Jika tidak ada kebijakan TLS yang dipilih, kebijakan TLS default akan diterapkan berdasarkan versi API yang digunakan untuk membuat sumber daya tersebut.
- Kebijakan 2022 Predefined dan Customv2 yang mendukung TLS v1.3 hanya tersedia dengan SKU Application Gateway V2 (Standard_v2 atau WAF_v2).
- Menggunakan kebijakan 2022 Predefined atau Customv2 meningkatkan keamanan SSL dan postur performa seluruh gateway (untuk Kebijakan SSL dan Profil SSL). Oleh karena itu, kebijakan lama dan baru tidak dapat ada bersama di gateway. Anda harus menggunakan salah satu kebijakan lama yang telah ditentukan atau kustom di seluruh gateway jika klien memerlukan versi atau cipher TLS yang lebih lama (misalnya, TLS v1.0).
- Cipher suite TLS yang digunakan untuk koneksi juga didasarkan pada jenis sertifikat yang digunakan. Cipher suite yang digunakan dalam "koneksi gateway klien ke aplikasi" didasarkan pada jenis sertifikat pendengar di gateway aplikasi. Sedangkan cipher suite yang digunakan dalam membuat "gateway aplikasi ke koneksi kumpulan backend" didasarkan pada jenis sertifikat server yang disajikan oleh server backend.
Kebijakan TLS yang telah ditentukan sebelumnya
Application Gateway menawarkan beberapa kebijakan keamanan yang telah ditentukan sebelumnya. Anda dapat mengonfigurasi gateway dengan salah satu kebijakan ini untuk mendapatkan tingkat keamanan yang sesuai. Nama kebijakan dianotasikan oleh tahun dan bulan di mana mereka dikonfigurasi (AppGwSslPolicy<YYYYMMDD>). Setiap kebijakan menawarkan versi protokol TLS dan/atau cipher suite yang berbeda. Kebijakan yang telah ditentukan sebelumnya ini dikonfigurasi mengingat praktik dan rekomendasi terbaik dari tim Microsoft Security. Sebaiknya gunakan kebijakan TLS terbaru untuk memastikan keamanan TLS terbaik.
Tabel berikut menunjukkan daftar cipher suite dan dukungan versi protokol minimum untuk setiap kebijakan yang telah ditentukan sebelumnya. Urutan cipher suite menentukan urutan prioritas selama negosiasi TLS. Untuk mengetahui urutan suite sandi yang tepat untuk kebijakan yang telah ditentukan sebelumnya ini, Anda dapat merujuk ke bilah PowerShell, CLI, REST API, atau Listeners di portal.
| Nama kebijakan yang telah ditentukan sebelumnya (AppGwSslPolicy<YYYYMMDD>) | 20150501 | 20170401 | 20170401S | 20220101 | 20220101S |
|---|---|---|---|---|---|
| Versi Protokol Minimum | 1,0 | 1.1 | 1.2 | 1.2 | 1.2 |
| Versi protokol yang diaktifkan | 1,0 1.1 1.2 |
1.1 1.2 |
1.2 | 1.2 01/03/2021 |
1.2 01/03/2021 |
| Default | Benar (untuk API versi < 2023-02-01) |
Salah | Salah | Benar
(untuk versi >API = 2023-02-01) |
Salah |
| TLS_AES_128_GCM_SHA256 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_AES_256_GCM_SHA384 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
Kebijakan TLS default
Ketika tidak ada Kebijakan SSL tertentu yang ditentukan dalam konfigurasi sumber daya gateway aplikasi, kebijakan TLS default akan diterapkan. Pemilihan kebijakan default ini didasarkan pada versi API yang digunakan untuk membuat gateway tersebut.
- Untuk VERSI API 2023-02-01 atau yang lebih tinggi, versi protokol minimum diatur ke 1.2 (versi hingga 1.3 didukung). Gateway yang dibuat dengan versi API ini akan melihat properti baca-saja defaultPredefinedSslPolicy:AppGwSslPolicy20220101 dalam konfigurasi sumber daya. Properti ini menentukan kebijakan TLS default yang akan digunakan.
- Untuk VERSI < API yang lebih lama 2023-02-01, versi protokol minimum diatur ke 1.0 (versi hingga 1.2 didukung) karena mereka menggunakan kebijakan yang telah ditentukan AppGwSslPolicy20150501 sebagai default.
Jika TLS default tidak sesuai dengan persyaratan Anda, pilih kebijakan yang telah ditentukan sebelumnya yang berbeda atau gunakan Kebijakan kustom.
Catatan
Dukungan Azure PowerShell dan CLI untuk kebijakan TLS default yang diperbarui akan segera hadir.
Kebijakan TLS kustom
Jika kebijakan TLS perlu dikonfigurasi untuk kebutuhan Anda, Anda dapat menggunakan kebijakan TLS Kustom. Dengan kebijakan TLS kustom, Anda memiliki kontrol penuh atas versi protokol TLS minimum untuk mendukung, serta cipher suite yang didukung dan urutan prioritasnya.
Catatan
Cipher dan dukungan TLSv1.3 yang lebih baru dan lebih kuat hanya tersedia dengan kebijakan CustomV2. Ini memberikan manfaat keamanan dan performa yang ditingkatkan.
Penting
- Jika Anda menggunakan kebijakan SSL kustom di Application Gateway v1 SKU (Standar atau WAF), pastikan Anda menambahkan sandi wajib "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" ke daftar. Cipher ini diperlukan untuk mengaktifkan metrik dan pengelogan di Application Gateway v1 SKU. Tidak wajib untuk Application Gateway v2 SKU (Standard_v2 atau WAF_v2).
- Suite sandi "TLS_AES_128_GCM_SHA256" dan "TLS_AES_256_GCM_SHA384" wajib untuk TLSv1.3. Anda TIDAK perlu menyebutkan ini secara eksplisit saat mengatur kebijakan CustomV2 dengan protokol minimum versi 1.2 atau 1.3 melalui PowerShell atau CLI. Dengan demikian, suite sandi ini tidak akan muncul di output Dapatkan Detail, dengan pengecualian Portal.
Cipher suite
Application Gateway mendukung cipher suite dimana Anda dapat memilih kebijakan kustom. Urutan cipher suite menentukan urutan prioritas selama negosiasi TLS.
- TLS_AES_128_GCM_SHA256 (hanya tersedia dengan Customv2)
- TLS_AES_256_GCM_SHA384 (hanya tersedia dengan Customv2)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Batasan
- Koneksi ke server backend selalu dengan protokol minimum TLS v1.0 dan hingga TLS v1.2. Oleh karena itu, hanya TLS versi 1.0, 1.1 dan 1.2 yang didukung untuk membuat koneksi aman dengan server backend.
- Mulai sekarang, implementasi TLS 1.3 tidak diaktifkan dengan fitur "Zero Round Trip Time (0-RTT)".
- Dimulainya kembali sesi TLS (ID atau Tiket) tidak didukung.
- Application Gateway v2 tidak mendukung cipher DHE berikut. Ini tidak akan digunakan untuk koneksi TLS dengan klien meskipun disebutkan dalam kebijakan yang telah ditentukan sebelumnya. Alih-alih cipher DHE, cipher ECDHE yang aman dan lebih cepat direkomendasikan.
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- Klien yang dibatasi yang mencari dukungan "Negosiasi Panjang Fragmen Maksimum" harus menggunakan kebijakan 2022 yang lebih baru yang Telah Ditentukan atau Kustomv2.
Langkah berikutnya
Jika Anda ingin belajar mengonfigurasi kebijakan TLS, lihat Konfigurasikan versi kebijakan TLS dan cipher suite di Application Gateway.