Condividi tramite

Gestire protocolli e crittografie in Azure API Management

SI APPLICA A: Tutti i livelli di API Management

Azure API Management supporta più versioni del protocollo TLS (Transport Layer Security) per proteggere il traffico API per:

  • Lato client (da client al gateway di API Management)
  • Lato back-end (dal gateway API Management al back-end)

API Management supporta anche più suite di crittografia usate dal gateway API.

API Management supporta versioni TLS fino a TLS 1.3 per la connettività client e back-end e diversi pacchetti di crittografia supportati. Questa guida illustra come gestire i protocolli e la configurazione delle crittografie per un'istanza di Azure API Management.

Screenshot di gestione di protocolli e crittografie nel Azure portal.

Note

  • Se si usa il gateway self-hosted, vedere Sicurezza del gateway self-hosted per gestire i protocolli TLS e i pacchetti di crittografia.
  • I livelli seguenti non supportano le modifiche apportate alla configurazione di crittografia predefinita: A consumo, Basic v2, Standard v2, Premium v2.
  • Nelle aree di lavoro, il gateway gestito non supporta le modifiche apportate alla configurazione predefinita del protocollo e della crittografia.

Note

A seconda del livello di servizio API Management, le modifiche possono richiedere da 15 a 45 minuti o più. Un'istanza nel livello di servizio Developer ha tempi di inattività durante il processo. Le istanze nei livelli Basic e superiore non hanno tempi di inattività durante il processo.

Prerequisiti

Vai alla tua istanza di API Management

  1. Nella Azure portale cercare e selezionare API Management services:

    Screenshot che mostra i servizi di API Management nei risultati della ricerca.

  2. Nella pagina API Management services selezionare l'istanza di API Management:

    Screenshot che mostra un'istanza di gestione delle API nella pagina dei servizi di gestione delle API.

Come gestire protocolli TLS e suite di crittografia

  1. Nel menu della barra laterale dell'istanza di API Management, in Sicurezza selezionare Protocols + crittografie.
  2. Abilitare o disabilitare i protocolli o le crittografie desiderate.
  3. Selezionare Salva.

Note

Alcuni protocolli o pacchetti di crittografia, ad esempio TLS 1.2 sul lato back-end, non possono essere abilitati o disabilitati dal Azure portal. Sarà invece necessario applicare la chiamata API REST per questi aggiornamenti (solo sul lato back-end). Usare la struttura properties.customProperties nell'API REST Create/Update API Management Service.

Supporto di TLS 1.3

Il supporto di TLS 1.3 è disponibile in tutti i livelli di servizio API Management. Nella maggior parte dei casi creati in questi livelli di servizio, TLS 1.3 è abilitato in modo permanente per impostazione predefinita per le connessioni lato client. L'abilitazione di TLS 1.3 sul lato back-end è facoltativa. TLS 1.2 è abilitato anche per impostazione predefinita sia sul lato client che sul lato back-end.

TLS 1.3 è una revisione principale del protocollo TLS che offre una maggiore sicurezza e prestazioni. Include funzionalità come la latenza ridotta di handshake e una maggiore sicurezza contro determinati tipi di attacchi.

Facoltativamente, abilitare TLS 1.3 quando i client richiedono la rinegoziazione dei certificati

TLS 1.3 non supporta la rinegoziazione dei certificati. La rinegoziazione dei certificati in TLS consente al client e al server di rinegoziare i parametri di connessione a metà sessione per l'autenticazione senza terminare la connessione.

API Management istanze rilevate come dipendenti dalla rinegoziazione del certificato client non dispongono di TLS 1.3 abilitato per impostazione predefinita. In questi casi, è possibile scegliere di abilitare TLS 1.3 manualmente.

Avvertimento

Se le API sono accessibili dai client conformi a TLS che si basano sulla rinegoziazione dei certificati, l'abilitazione di TLS 1.3 per le connessioni lato client causerà l'errore di connessione di tali client. Esaminare le API che hanno usato di recente la rinegoziazione dei certificati prima di abilitare TLS 1.3 sul lato client in qualsiasi servizio che non lo ha abilitato per impostazione predefinita.

Per abilitare TLS 1.3 per le connessioni lato client in queste istanze, configurare le impostazioni nella pagina Protocolli e crittografie :

  1. Nella pagina Protocolli e crittografie , nella sezione Protocollo client accanto a TLS 1.3 selezionare Visualizza e gestisci configurazione.
  2. Esaminare l'elenco delle rinegoziazioni dei certificati client recenti. L'elenco mostra le operazioni API in cui i client hanno usato di recente la rinegoziazione del certificato client.
  3. Se si sceglie di abilitare TLS 1.3 per le connessioni lato client, in Cambia stato TLS 1.3 selezionare Abilita.
  4. Selezionare Chiudi.

Dopo aver abilitato TLS 1.3, esaminare le metriche delle richieste del gateway o le eccezioni correlate a TLS nei log che indicano errori di connessione TLS. Se necessario, disabilitare TLS 1.3 per le connessioni lato client e effettuare il downgrade a TLS 1.2.

Se è necessario disabilitare TLS 1.3 per le connessioni lato client in queste istanze, configurare le impostazioni nella pagina Protocolli e crittografie :

  1. Nella pagina Protocolli e crittografie , nella sezione Protocollo client accanto a TLS 1.3 selezionare Visualizza e gestisci configurazione.
  2. In Cambia stato TLS 1.3 scegliere Disabilita.
  3. Selezionare Chiudi.

Lato back-end TLS 1.3

L'abilitazione di TLS 1.3 sul lato back-end è facoltativa. Se lo si abilita, API Management usa TLS 1.3 per le connessioni ai servizi back-end.

Avvertimento

L'abilitazione di TLS 1.3 per le connessioni sul lato back-end causerà errori di connessione con i servizi back-end che si basano sulla rinegoziazione del certificato client tra API Management e i back-end.

È possibile abilitare TLS 1.3 sul lato back-end dalla pagina Protocolli e crittografie :

  1. Nella pagina Protocolli e crittografie , nella sezione Protocollo back-end accanto a TLS 1.3 selezionare Visualizza e gestisci configurazione.
  2. In Cambia stato TLS 1.3 selezionare Abilita.
  3. Selezionare Salva.

Contenuti correlati

  • Per consigli sulla protezione dell'istanza di API Management, vedere Azure baseline di sicurezza per API Management.
  • Scopri le considerazioni sulla sicurezza nella gestione delle API e le migliori pratiche di architettura per API Management.
  • Altre informazioni su TLS.
  • Last updated on