Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Azure Application Gateway für Container verwenden, um TLS-Chiffren zu kontrollieren, um die Compliance- und Sicherheitsziele der Organisation zu erfüllen.
Die TLS-Richtlinie umfasst die Definition der TLS-Protokollversion, der Verschlüsselungssuiten und der Reihenfolge, in der Chiffre während eines TLS-Handshakes bevorzugt werden. Das Anwendungsgateway für Container bietet derzeit zwei vordefinierte Richtlinien zur Auswahl.
Nutzungs- und Versionsdetails
- Mit einer benutzerdefinierten TLS-Richtlinie können Sie die Mindestprotokollversion, Verschlüsselungen und elliptische Kurven für Ihr Gateway konfigurieren.
- Wenn keine TLS-Richtlinie definiert ist, wird eine TLS-Standardrichtlinie verwendet.
- Die für die Verbindung verwendeten TLS-Verschlüsselungssammlungen basieren auf dem Typ des verwendeten Zertifikats. Die zwischen Client und Anwendungsgateway für Container ausgehandelten Verschlüsselungssuiten basieren auf der Gateway-Listener-Konfiguration, wie in YAML definiert. Die Verschlüsselungssuiten, die beim Herstellen von Verbindungen zwischen Application Gateway für Container und dem Back-End-Ziel verwendet werden, basieren auf dem Typ der Serverzertifikate, die vom Back-End-Ziel dargestellt werden.
Vordefinierte TLS-Richtlinie
Das Application Gateway für Container bietet zwei vordefinierte Sicherheitsrichtlinien. Sie können eine dieser Richtlinien auswählen, um das entsprechende Sicherheitsniveau zu erreichen. Richtliniennamen werden nach Jahr und Monat (JJJJ-MM) der Einführung definiert. Darüber hinaus kann eine -S-Variante vorhanden sein, um eine strengere Variante von Verschlüsselungen zu kennzeichnen, die ausgehandelt werden können. Jede Richtlinie bietet verschiedene TLS-Protokollversionen und Verschlüsselungssammlungen. Diese vordefinierten Richtlinien sind konfiguriert, um die bewährten Methoden und Empfehlungen des Microsoft Security-Teams zu berücksichtigen. Verwenden Sie möglichst die neuesten TLS-Richtlinien, um ein Höchstmaß an TLS-Sicherheit zu gewährleisten.
In der folgenden Tabelle finden Sie die Liste der Verschlüsselungssuiten und der Mindestprotokollversionsunterstützung für jede vordefinierte Richtlinie. Die Reihenfolge der Verschlüsselungssammlungen bestimmt ihre Priorität bei der TLS-Aushandlung. Um die genaue Reihenfolge der Verschlüsselungssuiten für diese vordefinierten Richtlinien zu kennen.
| Vordefinierte Richtliniennamen | 2023-06 | 2023-06-S |
|---|---|---|
| Mindestprotokollversion | TLS 1.2 | TLS 1.2 |
| Aktivierte Protokollversionen | TLS 1.2, TLS 1.3 | TLS 1.2, TLS 1.3 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Elliptische Kurven | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Protokollversionen, Verschlüsselungsverfahren und elliptische Kurven, die in der obigen Tabelle nicht angegeben sind, werden nicht unterstützt und auch nicht ausgehandelt.
TLS-Standardrichtlinie
Wenn in Ihrer Kubernetes-Konfiguration keine TLS-Richtlinie angegeben wird, werden vordefinierte Richtlinien 2023-06 angewendet.
TLS-Richtlinie konfigurieren
TLS-Richtlinie kann in einer FrontendTLSPolicy-Ressource definiert werden, die auf definierte Gatewaylistener abzielt. Geben Sie einen Richtlinientyp vom Typ predefined an und wählen Sie einen der vordefinierten Richtliniennamen aus: 2023-06 oder 2023-06-S
Beispielbefehl zum Erstellen einer neuen FrontendTLSPolicy-Ressource mit der vordefinierten TLS-Richtlinie 2023-06-S.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF