نظرة عامة على Azure App Service TLS

بروتوكول أمان طبقة النقل (TLS) هو بروتوكول أمان معتمد على نطاق واسع مصمم لتأمين الاتصالات والاتصالات بين الخوادم والعملاء. تسمح App Service للعملاء باستخدام شهادات TLS/SSL لتأمين الطلبات الواردة إلى تطبيقات الويب الخاصة بهم. تدعم App Service حاليا مجموعة مختلفة من ميزات TLS للعملاء لتأمين تطبيقات الويب الخاصة بهم.

إصدار TLS المدعوم على App Service؟

بالنسبة للطلبات الواردة إلى تطبيق الويب الخاص بك، تدعم App Service إصدارات TLS 1.0 و1.1 و1.2 و1.3.

تعيين الحد الأدنى لإصدار TLS

اتبع هذه الخطوات لتغيير الحد الأدنى لإصدار TLS لمورد App Service:

1. استعرض للوصول إلى تطبيقك في مدخل Microsoft Azure
2. في القائمة اليسرى، حدد التكوين ثم حدد علامة التبويب الإعدادات العامة.
3. في الحد الأدنى لإصدار TLS الوارد، باستخدام القائمة المنسدلة، حدد الإصدار الذي تريده.
4. حدد حفظ لحفظ التغييرات.

الحد الأدنى لإصدار TLS مع نهج Azure

يمكنك استخدام نهج Azure للمساعدة في تدقيق مواردك عندما يتعلق الأمر بالحد الأدنى من إصدار TLS. يمكنك الرجوع إلى تطبيقات App Service التي يجب أن تستخدم أحدث تعريف لنهج إصدار TLS وتغيير القيم إلى الحد الأدنى المطلوب من إصدار TLS. للحصول على تعريفات نهج مماثلة لموارد App Service الأخرى، راجع قائمة تعريفات النهج المضمنة - نهج Azure لخدمة التطبيقات.

الحد الأدنى لإصدار TLS وSCM الحد الأدنى من إصدار TLS

تسمح لك App Service أيضا بتعيين الحد الأدنى من إصدار TLS للطلبات الواردة إلى تطبيق الويب الخاص بك وإلى موقع SCM. بشكل افتراضي، يتم تعيين الحد الأدنى من إصدار TLS للطلبات الواردة إلى تطبيق الويب الخاص بك وSCM إلى 1.2 على كل من المدخل وواجهة برمجة التطبيقات.

TLS 1.3

TLS 1.3 هو أحدث إصدار TLS وأكثره أمانا مدعوما على Azure App Service. يقدم تحسينات كبيرة في الأمان والأداء عبر TLS 1.2 من خلال تبسيط خوارزميات التشفير، وتقليل زمن انتقال تأكيد الاتصال، وتعزيز التشفير.

تشمل تلك المزايا:

• أمان أقوى: يزيل مجموعات التشفير القديمة، ويفرض السرية المثالية لإعادة التوجيه (PFS)، ويشفرة المزيد من عملية تأكيد الاتصال.
• تأكيد اتصال أسرع: يقلل من الرحلات ذهابا و تكرارا، مما يحسن زمن انتقال الاتصال، خاصة بالنسبة للجلسات المتكررة (دعم 0-RTT).
• أداء أفضل: يستخدم خوارزميات تشفير مبسطة تقلل الحمل الحسابي وتحسن الكفاءة.
• الخصوصية المحسنة: تشفير رسائل تأكيد الاتصال، والحد من التعرض لبيانات التعريف والتخفيف من هجمات الرجوع إلى الإصدار الأدنى.

مجموعات التشفير

يتوفر إعداد الحد الأدنى من TLS Cipher Suite مع TLS 1.3. يتضمن ذلك مجموعتي تشفير في الجزء العلوي من ترتيب مجموعة التشفير:

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

نظرا لأن TLS 1.3 يزيل خوارزميات التشفير القديمة، فمن المستحسن للتطبيقات التي تتطلب معايير أمان حديثة وتحسين الأداء وتقليل زمن الانتقال.

TLS 1.2

TLS 1.2 هو إصدار TLS الافتراضي لخدمة تطبيقات Azure. يوفر تشفيرا قويا وأمانا محسنا على الإصدارات القديمة والامتثال لمعايير الصناعة مثل PCI DSS. نظرا لأن TLS 1.2 هو الافتراضي، فلا يلزم اتخاذ أي إجراء ما لم تكن تقوم بالترحيل من إصدار TLS أقدم. إذا كان تطبيقك يستخدم حاليا TLS 1.0 أو 1.1، يوصى بالتحديث إلى TLS 1.2 للحفاظ على الأمان والأداء والتوافق. تدعم Azure App Service مجموعة محددة مسبقا من مجموعات تشفير TLS 1.2 لضمان الاتصال الآمن بين العملاء وتطبيق الويب الخاص بك.

TLS 1.0 و1.1

تعتبر TLS 1.0 و1.1 بروتوكولات قديمة ولم تعد تعتبر آمنة. يوصى للعملاء باستخدام TLS 1.2 أو أعلى كأدنى إصدار TLS. عند إنشاء تطبيق ويب، يكون الحد الأدنى الافتراضي لإصدار TLS هو TLS 1.2.

لضمان التوافق مع الإصدارات السابقة ل TLS 1.0 وTLS 1.1، ستستمر App Service في دعم TLS 1.0 و1.1 للطلبات الواردة إلى تطبيق الويب الخاص بك. ومع ذلك، نظرا لتعيين الحد الأدنى الافتراضي لإصدار TLS إلى TLS 1.2، تحتاج إلى تحديث الحد الأدنى من تكوينات إصدار TLS على تطبيق الويب الخاص بك إلى TLS 1.0 أو 1.1 حتى لا يتم رفض الطلبات.

الحد الأدنى من مجموعة تشفير TLS

يتضمن الحد الأدنى من مجموعة تشفير TLS قائمة ثابتة من مجموعات التشفير بترتيب الأولوية الأمثل الذي لا يمكنك تغييره. لا يوصى بإعادة ترتيب مجموعات التشفير أو إعادة ترتيبها لأنها قد تعرض تطبيقات الويب الخاصة بك إلى تشفير أضعف. لا يمكنك أيضا إضافة مجموعات تشفير جديدة أو مختلفة إلى هذه القائمة. عند تحديد الحد الأدنى لمجموعة التشفير، يقوم النظام تلقائيا بتعطيل جميع مجموعات التشفير الأقل أمانا لتطبيق الويب الخاص بك، دون السماح لك بتعطيل بعض مجموعات التشفير الأضعف فقط بشكل انتقائي.

ما هي مجموعات التشفير وكيف تعمل على App Service؟

مجموعة التشفير هي مجموعة من الإرشادات التي تحتوي على خوارزميات وبروتوكولات للمساعدة في تأمين اتصالات الشبكة بين العملاء والخوادم. بشكل افتراضي، سيختار نظام التشغيل للواجهة الأمامية مجموعة التشفير الأكثر أمانا التي يدعمها كل من App Service والعميل. ومع ذلك، إذا كان العميل يدعم مجموعات التشفير الضعيفة فقط، فسينتهي نظام التشغيل للواجهة الأمامية باختيار مجموعة تشفير ضعيفة يدعمها كلاهما. إذا كانت مؤسستك لديها قيود على مجموعات التشفير التي يجب عدم السماح بها، فيمكنك تحديث الحد الأدنى من خاصية مجموعة تشفير TLS لتطبيق الويب الخاص بك لضمان تعطيل مجموعات التشفير الضعيفة لتطبيق الويب الخاص بك.

بيئة خدمة التطبيقات (ASE) V3 مع إعداد نظام المجموعة FrontEndSSLCipherSuiteOrder

بالنسبة لبيئات خدمة التطبيقات مع FrontEndSSLCipherSuiteOrder إعداد نظام المجموعة، تحتاج إلى تحديث الإعدادات الخاصة بك لتضمين مجموعتي تشفير TLS 1.3 (TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256). بمجرد التحديث، أعد تشغيل الواجهة الأمامية حتى يدخل التغيير حيز التنفيذ. يجب عليك تضمين مجموعتي التشفير المطلوبتين كما هو مذكور في المستندات.

تشفير TLS من طرف إلى طرف

يتوفر تشفير TLS الشامل (E2E) في خطط Premium App Service (وخطط خدمة التطبيقات القياسية القديمة). يمكن الآن تشفير حركة المرور داخل نظام المجموعة الأمامية بين الواجهة الأمامية ل App Service والعمال الذين يشغلون أحمال عمل التطبيق.

الخطوات التالية

• تأمين اسم DNS مخصص مع ربط TLS/SSL