Azure App Service TLS 개요
참고 항목
고객은 Azure 서비스와의 상호 작용에 대한 TLS 1.0 및 1.1의 사용 중지 알림을 알고 있을 수 있습니다. 이 사용 중지는 App Service 또는 Azure Functions에서 실행되는 애플리케이션에 영향을 주지 않습니다. 들어오는 요청에 대해 TLS 1.0 또는 TLS 1.1을 수락하도록 구성된 App Service 또는 Azure Functions의 애플리케이션은 영향을 받지 않고 계속 실행됩니다.
TLS는 App Service에서 어떤 역할을 하나요?
TLS(전송 계층 보안)는 서버와 클라이언트 간의 연결 및 통신을 보호하도록 설계되어 널리 채택되는 보안 프로토콜입니다. App Service를 통해 고객은 TLS/SSL 인증서를 사용하여 웹앱으로 들어오는 요청을 보호할 수 있습니다. App Service는 현재 고객이 웹앱을 보호할 수 있도록 다양한 TLS 기능 집합을 지원합니다.
팁
Azure Copilot에 다음과 같이 질문할 수도 있습니다.
- App Service에서 지원되는 TLS 버전은 무엇인가요?
- 이전 버전에서 TLS 1.3을 사용하면 어떤 이점이 있나요?
- App Service Environment의 암호 도구 모음 순서를 변경하려면 어떻게 해야 하나요?
Azure Copilot을 찾으려면 Azure Portal 도구 모음에서 Copilot을 선택합니다.
App Service에서 지원되는 TLS 버전
웹앱으로 들어오는 요청의 경우 App Service는 TLS 버전 1.0, 1.1, 1.2 및 1.3을 지원합니다.
최소 TLS 버전 설정
App Service 리소스의 최소 TLS 버전을 변경하려면 다음 단계를 수행합니다.
- Azure Portal에서 앱으로 이동합니다.
- 왼쪽 메뉴에서 구성을 선택한 다음, 일반 설정 탭을 선택합니다.
- 최소 인바운드 TLS 버전에서 드롭다운을 사용하여 원하는 버전을 선택합니다.
- 저장을 선택하여 변경 내용을 저장합니다.
Azure Policy를 사용하는 최소 TLS 버전
Azure Policy를 사용하여 최소 TLS 버전과 관련하여 리소스를 감사할 수 있습니다. App Service 앱은 최신 TLS 버전 정책 정의를 사용하고 원하는 최소 TLS 버전으로 값을 변경해야 한다고 참조할 수 있습니다. 다른 App Service 리소스에 대한 유사한 정책 정의는 기본 제공 정책 정의 목록인 App Service용 Azure Policy를 참조하세요.
최소 TLS 버전 및 SCM 최소 TLS 버전
App Service를 사용하면 웹앱 및 SCM 사이트로 들어오는 요청에 대한 최소 TLS 버전을 설정할 수도 있습니다. 기본적으로 웹앱 및 SCM에 들어오는 요청에 대한 최소 TLS 버전은 포털 및 API 모두에서 1.2로 설정됩니다.
TLS 1.3
최소 TLS 암호 도구 모음 설정은 TLS 1.3에서 사용할 수 있습니다. 여기에는 암호 도구 모음 순서의 맨 위에 있는 두 개의 암호 도구 모음이 포함됩니다.
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 및 1.1을 지원합니다.
TLS 1.0 및 1.1은 레거시 프로토콜로 간주되며 더 이상 안전한 것으로 간주되지 않습니다. 일반적으로 고객은 TLS 1.2 이상을 최소 TLS 버전으로 사용하는 것이 좋습니다. 웹앱을 만들 때 기본 최소 TLS 버전은 TLS 1.2입니다.
TLS 1.0 및 TLS 1.1에 대한 이전 버전과의 호환성을 보장하기 위해 App Service는 웹앱으로 들어오는 요청에 대해 TLS 1.0 및 1.1을 계속 지원합니다. 그러나 기본 최소 TLS 버전은 TLS 1.2로 설정되어 있으므로 요청이 거부되지 않도록 웹앱의 최소 TLS 버전 구성을 TLS 1.0 또는 1.1로 업데이트해야 합니다.
Important
웹앱에 대한 들어오는 요청과 Azure에 대한 들어오는 요청은 다르게 처리됩니다. App Service는 웹앱으로 들어오는 요청에 대해 TLS 1.0 및 1.1을 계속 지원합니다. 예를 들어 ARM 또는 API 호출을 통해 Azure 컨트롤 플레인으로 직접 들어오는 요청의 경우 TLS 1.0 또는 1.1을 사용하지 않는 것이 좋습니다.
최소 TLS 암호 그룹
참고 항목
최소 TLS 암호화 제품군은 다중 테넌트 App Service에서 기본 SKU 이상에서 지원됩니다.
최소 TLS 암호 도구 모음에는 변경할 수 없는 최적의 우선 순위 순서를 가진 암호 도구 모음의 고정 목록이 포함되어 있습니다. 암호 도구 모음의 순서를 변경하거나 우선 순위를 다시 지정하면 웹앱을 더 약한 암호화에 노출할 수 있으므로 권장되지 않습니다. 또한 이 목록에 새 암호 도구 모음 또는 다른 암호 도구 모음을 추가할 수 없습니다. 최소 암호 도구 모음을 선택하면 일부 더 약한 암호 도구 모음만 선택적으로 사용하지 않도록 설정하지 않아도 시스템은 웹앱에 대해 덜 안전한 암호 도구 모음을 모두 자동으로 사용하지 않도록 설정합니다.
암호 도구 모음이란 무엇이며 App Service에서 어떻게 작동하나요?
암호 도구 모음은 클라이언트와 서버 간의 네트워크 연결을 보호하는 데 도움이 되는 알고리즘 및 프로토콜을 포함하는 지침 집합입니다. 기본적으로 프런트 엔드의 OS는 App Service와 클라이언트 모두에서 지원되는 가장 안전한 암호 도구 모음을 선택합니다. 그러나 클라이언트가 약한 암호 도구 모음만 지원하는 경우 프런트 엔드의 OS는 둘 다에서 지원하는 약한 암호 도구 모음을 선택하게 됩니다. 조직에서 허용되지 않는 암호 도구 모음에 제한이 있는 경우 웹앱의 최소 TLS 암호 도구 모음 속성을 업데이트하여 약한 암호 그룹을 웹앱에 대해 사용하지 않도록 설정할 수 있습니다.
클러스터 설정이 FrontEndSSLCipherSuiteOrder
인 ASE(App Service Environment) V3
FrontEndSSLCipherSuiteOrder
클러스터 설정을 사용하는 App Service Environment의 경우 두 개의 TLS 1.3 암호 도구 모음(TLS_AES_256_GCM_SHA384 및 TLS_AES_128_GCM_SHA256)을 포함하도록 설정을 업데이트해야 합니다. 업데이트되면 프런트 엔드를 다시 시작하여 변경 내용을 적용합니다. 설명서에 설명된 대로 두 개의 필수 암호 도구 모음을 포함해야 합니다.
엔드투엔드 TLS 암호화
E2E(엔드투엔드) TLS 암호화는 Premium App Service 계획(및 레거시 표준 App Service 계획)에서 사용할 수 있습니다. 이제 App Service 프런트 엔드와 애플리케이션 워크로드를 실행하는 작업자 간의 프런트 엔드 클러스터 내 트래픽을 암호화할 수 있습니다.