Vue d’ensemble d’Azure App Service TLS

TLS (Transport Layer Security) est un protocole de sécurité largement adopté conçu pour sécuriser les connexions et les communications entre les serveurs et les clients. App Service permet aux clients d’utiliser des certificats TLS/SSL pour sécuriser les requêtes entrantes destinées à leurs applications web. App Service prend actuellement en charge différents ensembles de fonctionnalités TLS pour que les clients sécurisent leurs applications web.

Version de TLS prise en charge sur App Service ?

Pour les requêtes entrantes adressées à votre application web, App Service prend en charge TLS versions 1.0, 1.1, 1.2 et 1.3.

Définir la version minimale de TLS

Procédez comme suit pour modifier la version TLS minimale de votre ressource App Service :

1. Accéder à votre application sur le Portail Azure
2. Dans le menu de gauche, sélectionnez configuration, puis sélectionnez l’onglet Paramètres généraux.
3. Dans Version TLS entrante minimale, à l’aide de la liste déroulante, sélectionnez votre version souhaitée.
4. Sélectionnez Enregistrer pour enregistrer les modifications.

Version TLS minimale avec Azure Policy

Vous pouvez utiliser Azure Policy pour vous aider à auditer vos ressources en ce qui concerne la version TLS minimale. Vous pouvez consultez Les applications App Service doivent utiliser la dernière définition de stratégie de version TLS et modifier les valeurs en fonction de votre version TLS minimale souhaitée. Pour obtenir des définitions de stratégie similaires pour d’autres ressources App Service, consultez Liste des définitions de stratégie intégrées – Azure Policy pour App Service.

Version TLS minimale et version TLS minimal SCM

App Service vous permet également de définir une version TLS minimale pour les requêtes entrantes sur votre application web et sur le site SCM. Par défaut, la version TLS minimale des requêtes entrantes destinées à votre application web et à SCM est définie sur la version 1.2 sur le portail et l’API.

TLS 1.3

TLS 1.3 est la version TLS la plus récente et la plus sécurisée prise en charge sur Azure App Service. Il introduit des améliorations significatives en matière de sécurité et de performances par rapport à TLS 1.2 en simplifiant les algorithmes cryptographiques, en réduisant la latence d’établissement d'une liaison et en améliorant le cryptage.

Voici les principaux avantages :

• Sécurité renforcée : Supprime les suites de chiffrement obsolètes, applique la confidentialité permanente (PFS) et crypte une plus grande partie du processus d’établissement d'une liaison.
• Établissement d'une liaison plus rapide : Réduit les allers-retours, améliorant la latence de connexion, en particulier pour les sessions répétées (prise en charge 0-RTT).
• Meilleures performances : Utilise des algorithmes de cryptage rationalisés qui réduisent la charge de calcul et améliorent l'efficacité.
• Confidentialité améliorée : Chiffre les messages d’établissement d'une liaison, réduisant ainsi l'exposition des métadonnées et atténuant les attaques de rétrogradation.

Suites de chiffrement

Un paramètre Suite de chiffrement TLS minimale est disponible avec TLS 1.3. Cela inclut deux suites de chiffrement en haut de l’ordre de suite de chiffrement :

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

Étant donné que TLS 1.3 supprime les algorithmes de chiffrement hérités, il est recommandé pour les applications qui nécessitent des normes de sécurité modernes, des performances améliorées et une latence réduite.

TLS 1.2

TLS 1.2 est la version TLS par défaut pour Azure App Service. Il offre un cryptage puissant, une sécurité améliorée par rapport aux anciennes versions et la conformité aux normes du secteur telles que PCI DSS. Étant donné que TLS 1.2 est la valeur par défaut, aucune action n’est requise, sauf si vous migrez à partir d’une ancienne version TLS. Si votre application utilise actuellement TLS 1.0 ou 1.1, la mise à jour vers TLS 1.2 est recommandée pour maintenir la sécurité, les performances et la conformité. Azure App Service prend en charge un ensemble prédéfini de suites de chiffrement TLS 1.2 pour garantir une communication sécurisée entre les clients et votre application Web.

TLS 1.0 et 1.1

TLS 1.0 et 1.1 sont considérés comme des protocoles hérités et ne sont plus considérés comme sécurisés. Il est recommandé aux clients d'utiliser TLS 1.2 ou supérieur comme version TLS minimale. Lors de la création d’une application web, la version minimale par défaut de TLS est TLS 1.2.

Pour garantir la compatibilité descendante pour TLS 1.0 et TLS 1.1, App Service continuera à prendre en charge TLS 1.0 et 1.1 pour les requêtes entrantes adressées à votre application web. Toutefois, étant donné que la version minimale de TLS par défaut est définie sur TLS 1.2, vous devez mettre à jour les configurations minimales de version TLS sur votre application web vers TLS 1.0 ou 1.1 pour que les requêtes ne soient pas rejetées.

Suite de chiffrement TLS minimale

La suite de chiffrement TLS minimale inclut une liste fixe de suites de chiffrement avec un ordre de priorité optimal que vous ne pouvez pas modifier. Il n'est pas recommandé de réorganiser ou de reprioriser les suites de chiffrement, car cela pourrait exposer vos applications Web à un cryptage plus faible. Vous ne pouvez pas non plus ajouter de suites de chiffrement nouvelles ou différentes à cette liste. Lorsque vous sélectionnez une suite de chiffrement minimale, le système désactive automatiquement toutes les suites de chiffrement moins sécurisées pour votre application web, sans vous permettre de désactiver sélectivement certaines suites de chiffrement plus faibles.

Qu’est-ce que les suites de chiffrement et comment fonctionnent-elles sur App Service ?

Une suite de chiffrement est un ensemble d’instructions qui contient des algorithmes et des protocoles pour sécuriser les connexions réseau entre les clients et les serveurs. Par défaut, le système d’exploitation frontal choisit la suite de chiffrement la plus sécurisée prise en charge à la fois par App Service et par le client. Toutefois, si le client prend uniquement en charge les suites de chiffrement faibles, le système d’exploitation frontal choisira une suite de chiffrement faible qui est prise en charge par les deux. Si votre organisation a des restrictions sur les suites de chiffrement qui ne doivent pas être autorisées, vous pouvez mettre à jour la propriété Suite de chiffrement TLS minimale de votre application web pour vous assurer que les suites de chiffrement faibles sont désactivées pour votre application web.

App Service Environment (ASE) V3 avec le paramètre de cluster FrontEndSSLCipherSuiteOrder

Pour les environnements App Service avec un paramètre de cluster FrontEndSSLCipherSuiteOrder, vous devez mettre à jour vos paramètres pour inclure deux suites de chiffrement TLS 1.3 (TLS_AES_256_GCM_SHA384 et TLS_AES_128_GCM_SHA256). Après la mise à jour, redémarrez votre serveur frontal pour que la modification prenne effet. Vous devez toujours inclure les deux suites de chiffrement requises, comme mentionné dans la documentation.

Chiffrement TSL de bout en bout

Le chiffrement TLS de bout en bout (E2E) est disponible dans les plans App Service Premium (et les plans App Service Standard existants). Le trafic intra-cluster frontal entre les serveurs frontaux App Service et les workers exécutant des charges de travail d’application peut désormais être chiffré.

Étapes suivantes

• Sécuriser un nom DNS personnalisé avec une liaison TLS/SSL