Aracılığıyla paylaş


Azure Uygulaması Hizmeti TLS'ye genel bakış

Not

Azure hizmetlerinde TLS 1.1 ve 1.0'ın kullanımdan kaldırılması App Service veya Azure İşlevleri üzerinde çalışan uygulamaları etkilemez. App Service veya Azure İşlevleri gelen istekler için TLS 1.0 veya TLS 1.1'i kabul edecek şekilde yapılandırılmış uygulamalar etkilenmeden çalışmaya devam eder.

Aktarım Katmanı Güvenliği (TLS), sunucular ve istemciler arasındaki bağlantıların ve iletişimlerin güvenliğini sağlamak için tasarlanmış, yaygın olarak benimsenmiş bir güvenlik protokolüdür. App Service, müşterilerin web uygulamalarına gelen isteklerin güvenliğini sağlamak için TLS/SSL sertifikalarını kullanmasına olanak tanır. App Service şu anda müşterilerin web uygulamalarının güvenliğini sağlamak için farklı TLS özellikleri kümesini desteklemektedir.

İpucu

Azure Copilot'a şu soruları da sorabilirsiniz:

  • App Service'te hangi TLS sürümleri desteklenir?
  • TLS 1.3'ün önceki sürümlere göre avantajları nelerdir?
  • App Service Ortamı için şifre paketi sırasını nasıl değiştirebilirim?

Azure Copilot'u bulmak için Azure portalı araç çubuğunda Copilot'u seçin.

App Service'te DESTEKLENEN TLS Sürümü?

Web uygulamanıza gelen istekler için App Service TLS 1.0, 1.1, 1.2 ve 1.3 sürümlerini destekler.

En Düşük TLS Sürümünü Ayarla

App Service kaynağınızın En Düşük TLS sürümünü değiştirmek için şu adımları izleyin:

  1. Azure portalında uygulamanıza göz atın
  2. Soldaki menüde yapılandırma'yı ve ardından Genel ayarlar sekmesini seçin.
  3. En Düşük Gelen TLS Sürümü'nde açılan listeyi kullanarak istediğiniz sürümü seçin.
  4. Değişiklikleri kaydetmek için Kaydet'i seçin.

Azure İlkesi ile En Düşük TLS Sürümü

En düşük TLS sürümü söz konusu olduğunda kaynaklarınızı denetlemenize yardımcı olması için Azure İlkesi kullanabilirsiniz. App Service uygulamalarının en son TLS sürüm ilkesi tanımını kullanması ve değerleri istediğiniz en düşük TLS sürümüyle değiştirmesi gerekir bölümüne başvurabilirsiniz. Diğer App Service kaynaklarına yönelik benzer ilke tanımları için App Service için Azure İlkesi yerleşik ilke tanımları listesi bölümüne bakın.

En Düşük TLS Sürümü ve SCM En Düşük TLS Sürümü

App Service, web uygulamanıza ve SCM sitenize gelen istekler için en düşük TLS sürümünü ayarlamanıza da olanak tanır. Varsayılan olarak, web uygulamanıza ve SCM'ye gelen isteklerin en düşük TLS sürümü hem portalda hem de API'de 1.2 olarak ayarlanır.

TLS 1.3

TLS 1.3, Azure Uygulaması Hizmetinde desteklenen en son ve en güvenli TLS sürümüdür. Şifreleme algoritmalarını basitleştirerek, el sıkışma gecikmesini azaltarak ve şifrelemeyi geliştirerek TLS 1.2 üzerinde önemli güvenlik ve performans iyileştirmeleri sağlar.

Başlıca yararları şunlardır:

  • Daha Güçlü Güvenlik: Eski şifreleme paketlerini kaldırır, Mükemmel İletme Gizliliği (PFS) uygular ve el sıkışma işleminin daha fazlasını şifreler.
  • Daha Hızlı El Sıkışma: Gidiş dönüşleri azaltır ve özellikle yinelenen oturumlar için bağlantı gecikme süresini artırır (0-RTT desteği).
  • Daha İyi Performans: Hesaplama ek yükünü azaltan ve verimliliği artıran kolaylaştırılmış şifreleme algoritmaları kullanır.
  • Gelişmiş Gizlilik: El sıkışma iletilerini şifreleyerek meta verilerin açığa çıkışını azaltır ve düşük sürüme düşürme saldırılarını azaltır.

Şifre Paketleri

TLS 1.3 ile en düşük TLS Şifreleme Paketi ayarı kullanılabilir. Buna, şifre paketi sırasının en üstünde yer alan iki şifreleme paketi dahildir:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

TLS 1.3 eski şifreleme algoritmalarını kaldırdığından, modern güvenlik standartları, geliştirilmiş performans ve düşük gecikme süresi gerektiren uygulamalar için önerilir.

TLS 1.2

TLS 1.2, Azure Uygulaması Hizmeti için varsayılan TLS sürümüdür. Güçlü şifreleme, eski sürümlere göre geliştirilmiş güvenlik ve PCI DSS gibi endüstri standartlarıyla uyumluluk sağlar. TLS 1.2 varsayılan olduğundan, eski bir TLS sürümünden geçiş yapmazsanız herhangi bir eylem gerekmez. Uygulamanız şu anda TLS 1.0 veya 1.1 kullanıyorsa güvenliği, performansı ve uyumluluğu korumak için TLS 1.2'ye güncelleştirmeniz önerilir. Azure Uygulaması Hizmeti, istemcilerle web uygulamanız arasında güvenli iletişim sağlamak için önceden tanımlanmış bir TLS 1.2 şifreleme paketleri kümesini destekler.

TLS 1.0 ve 1.1

TLS 1.0 ve 1.1 eski protokoller olarak kabul edilir ve artık güvenli olarak kabul edilmez. Müşterilerin en düşük TLS sürümü olarak TLS 1.2 veya üzerini kullanması önerilir. Web uygulaması oluştururken varsayılan en düşük TLS sürümü TLS 1.2'dir.

TLS 1.0 ve TLS 1.1 için geriye dönük uyumluluk sağlamak amacıyla App Service, web uygulamanıza gelen istekler için TLS 1.0 ve 1.1'i desteklemeye devam edecektir. Ancak varsayılan en düşük TLS sürümü TLS 1.2 olarak ayarlandığından, isteklerin reddedilmeyeceği için web uygulamanızdaki en düşük TLS sürüm yapılandırmalarını TLS 1.0 veya 1.1 olarak güncelleştirmeniz gerekir.

Önemli

Web uygulamalarına gelen istekler ve Azure'a gelen istekler farklı şekilde ele alınıyor. App Service, web uygulamalarına gelen istekler için TLS 1.0 ve 1.1'i desteklemeye devam edecektir. Arm veya API çağrıları gibi doğrudan Azure denetim düzlemine gelen istekler için TLS 1.0 veya 1.1 kullanılması önerilmez.

En düşük TLS şifreleme paketi

Not

En düşük TLS Şifreleme Paketi Temel SKU'larda ve çok kiracılı App Service'te daha yüksek düzeyde desteklenir.

En düşük TLS şifreleme paketi, değiştiremeyeceğiniz en uygun öncelik sırasına sahip sabit bir şifre paketleri listesi içerir. Web uygulamalarınızı daha zayıf şifrelemeye maruz bırakabileceğinden şifreleme paketlerini yeniden sıralamak veya yeniden sıralamak önerilmez. Ayrıca bu listeye yeni veya farklı şifreleme paketleri ekleyemezsiniz. En düşük şifreleme paketini seçtiğinizde, sistem yalnızca bazı zayıf şifreleme paketlerini seçmeli olarak devre dışı bırakmanıza izin vermeden web uygulamanız için tüm daha az güvenli şifreleme paketlerini otomatik olarak devre dışı bırakır.

Şifreleme paketleri nedir ve App Service'te nasıl çalışır?

Şifreleme paketi, istemciler ve sunucular arasındaki ağ bağlantılarının güvenliğini sağlamaya yardımcı olmak için algoritmalar ve protokoller içeren bir yönerge kümesidir. Varsayılan olarak, ön ucun işletim sistemi hem App Service hem de istemci tarafından desteklenen en güvenli şifreleme paketini seçer. Ancak, istemci yalnızca zayıf şifreleme paketlerini destekliyorsa, ön ucun işletim sistemi her ikisi tarafından desteklenen zayıf bir şifreleme paketi seçer. Kuruluşunuzda hangi şifreleme paketlerine izin verilmemesi gerektiğiyle ilgili kısıtlamalar varsa, zayıf şifreleme paketlerinin web uygulamanız için devre dışı bırakılacağından emin olmak için web uygulamanızın en düşük TLS şifreleme paketi özelliğini güncelleştirebilirsiniz.

Küme ayarıyla App Service Ortamı (ASE) V3FrontEndSSLCipherSuiteOrder

Küme ayarıyla FrontEndSSLCipherSuiteOrder App Service Ortamı için, ayarlarınızı iki TLS 1.3 şifreleme paketi (TLS_AES_256_GCM_SHA384 ve TLS_AES_128_GCM_SHA256) içerecek şekilde güncelleştirmeniz gerekir. Güncelleştirmeden sonra değişikliğin etkili olması için ön ucunuzu yeniden başlatın. Belgelerde belirtildiği gibi gerekli iki şifreleme paketlerini yine de eklemeniz gerekir.

Uçtan uca TLS Şifrelemesi

Uçtan uca (E2E) TLS şifrelemesi Premium App Service planlarında (ve eski Standart App Service planlarında) kullanılabilir. App Service ön uçları ile uygulama iş yüklerini çalıştıran çalışanlar arasındaki ön uç küme içi trafik artık şifrelenebilir.

Sonraki adımlar