Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Du kan använda Azure Application Gateway för containrar för att styra TLS-chiffer för att uppfylla organisationens efterlevnads- och säkerhetsmål.
TLS-principen innehåller definitionen av TLS-protokollversionen, chiffersviter och i vilken ordning chiffer föredras under en TLS-handskakning. Application Gateway för containrar erbjuder för närvarande två fördefinierade principer att välja mellan.
Information om användning och version
- Med en anpassad TLS-princip kan du konfigurera lägsta protokollversion, chiffer och elliptiska kurvor för din gateway.
- Om ingen TLS-princip har definierats används en standardprincip för TLS.
- TLS-chiffersviter som används för anslutningen baseras också på vilken typ av certifikat som används. Chiffersviterna som förhandlas mellan klienten och Application Gateway för containrar baseras på gatewaylyssningskonfigurationen enligt definitionen i YAML. Chiffersviterna som används för att upprätta anslutningar mellan Application Gateway för containrar och serverdelsmålet baseras på vilken typ av servercertifikat som visas av serverdelsmålet.
Fördefinierad TLS-princip
Application Gateway för containrar erbjuder två fördefinierade säkerhetsprinciper. Du kan välja någon av dessa principer för att uppnå rätt säkerhetsnivå. Principnamn definieras efter år och månad (ÅÅÅÅ-MM) för introduktion. Dessutom kan det finnas en -S-variant som anger en striktare variant av chiffer som kan förhandlas fram. Varje princip erbjuder olika TLS-protokollversioner och chiffersviter. Dessa fördefinierade principer har konfigurerats med tanke på bästa praxis och rekommendationer från Microsoft Security-teamet. Vi rekommenderar att du använder de senaste TLS-principerna för att säkerställa bästa TLS-säkerhet.
I följande tabell visas listan över chiffersviter och lägsta protokollversionsstöd för varje fördefinierad princip. Ordningen på chiffersviterna avgör prioritetsordningen under TLS-förhandlingen. Att känna till den exakta ordningen på chiffersviterna för dessa fördefinierade principer.
| Fördefinierade principnamn | 2023-06 | 2023-06-S |
|---|---|---|
| Lägsta protokollversion | TLS 1.2 | TLS 1.2 |
| Aktiverade protokollversioner | TLS 1.2 | TLS 1.2 |
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ |
| Elliptiska kurvor | ||
| P-384 | ✓ | ✓ |
| P-256 | ✓ | ✓ |
Protokollversioner, chiffer och elliptiska kurvor som inte anges i tabellen ovan stöds inte och kommer inte att förhandlas.
Standardprincip för TLS
När ingen TLS-princip anges i Kubernetes-konfigurationen tillämpas fördefinierade princip 2023-06 .
Så här konfigurerar du en TLS-princip
TLS-principen kan definieras i en FrontendTLSPolicy-resurs som riktar sig till definierade gatewaylyssnare. Ange en policyTyp av typen predefined och välj antingen fördefinierat principnamn: 2023-06 eller 2023-06-S
Exempelkommando för att skapa en ny FrontendTLSPolicy-resurs med den fördefinierade TLS-principen 2023-06-S.
kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: FrontendTLSPolicy
metadata:
name: policy-default
namespace: test-infra
spec:
targetRef:
kind: Gateway
name: target-01
namespace: test-infra
sectionNames:
- https-listener
group : gateway.networking.k8s.io
default:
policyType:
type: predefined
name: 2023-06-S
EOF