Segurança da camada de transporte no Backup do Azure

Transport Layer Security (TLS) é um protocolo de criptografia que mantém os dados seguros quando são transferidos através de uma rede. O Backup do Azure usa a segurança da camada de transporte para proteger a privacidade dos dados de backup que estão sendo transferidos. Este artigo descreve as etapas para habilitar o protocolo TLS 1.2, que fornece segurança aprimorada em relação às versões anteriores.

Versões anteriores do Windows

Se a máquina estiver executando versões anteriores do Windows, as atualizações correspondentes observadas abaixo devem ser instaladas e as alterações do Registro documentadas nos artigos da Base de Dados de Conhecimento devem ser aplicadas.

Verificar o registro do Windows

Configurando protocolos SChannel

As seguintes chaves do Registro garantem que o protocolo TLS 1.2 esteja habilitado no nível do componente SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Configurando o .NET Framework

As seguintes chaves do Registro configuram o .NET Framework para oferecer suporte a criptografia forte. Você pode ler mais sobre como configurar o .NET Framework aqui.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Alterações no certificado TLS do Azure

Os pontos de extremidade TLS/SSL do Azure agora contêm certificados atualizados encadeados para novas CAs raiz. Certifique-se de que as alterações a seguir incluam as autoridades de certificação raiz atualizadas. Saiba mais sobre os possíveis impactos em seus aplicativos.

Anteriormente, a maioria dos certificados TLS, usados pelos serviços do Azure, eram encadeados para a seguinte CA raiz:

Agora, os certificados TLS, usados pelos serviços do Azure, ajudam a encadear até uma das seguintes CAs raiz:

Perguntas mais frequentes

Por que ativar o TLS 1.2?

O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Os serviços de Backup do Azure já oferecem suporte total ao TLS 1.2.

O que determina o protocolo de encriptação utilizado?

A versão de protocolo mais alta suportada pelo cliente e pelo servidor é negociada para estabelecer a conversa criptografada. Para obter mais informações sobre o protocolo de handshake TLS, consulte Estabelecendo uma sessão segura usando TLS.

Qual é o impacto de não ativar o TLS 1.2?

Para melhorar a segurança contra ataques de downgrade de protocolo, o Backup do Azure está começando a desabilitar versões TLS anteriores à 1.2 de forma faseada. Isso faz parte de uma mudança de longo prazo entre os serviços para não permitir conexões de protocolo legado e conjunto de codificação. Os serviços e componentes do Backup do Azure oferecem suporte total ao TLS 1.2. No entanto, as versões do Windows sem atualizações necessárias ou certas configurações personalizadas ainda podem impedir que os protocolos TLS 1.2 sejam oferecidos. Isso pode causar falhas, incluindo, mas não limitado a, um ou mais dos seguintes:

• As operações de backup e restauração podem falhar.
• Os componentes de backup conectam falhas com o erro 10054 (Uma conexão existente foi fechada à força pelo host remoto).
• Os serviços relacionados ao Backup do Azure não param ou iniciam como de costume.

Recursos adicionais

• Protocolo de Segurança da Camada de Transporte
• Garantindo suporte para TLS 1.2 em sistemas operacionais implantados
• Práticas recomendadas de segurança da camada de transporte (TLS) com o .NET Framework