Aracılığıyla paylaş

Azure Uygulaması Hizmeti TLS'ye genel bakış

  • Makale

Not

Müşteriler, Azure hizmetleriyle etkileşimler için TLS 1.0 ve 1.1'in kullanımdan kaldırma bildiriminin farkında olabilir. Bu kullanımdan kaldırma, App Service veya Azure İşlevleri üzerinde çalışan uygulamaları etkilemez. App Service veya Azure İşlevleri gelen istekler için TLS 1.0 veya TLS 1.1 kabul edecek şekilde yapılandırılmış uygulamalar etkilenmeden çalışmaya devam eder.

TLS App Service'te ne yapar?

Aktarım Katmanı Güvenliği (TLS), sunucular ve istemciler arasındaki bağlantıların ve iletişimlerin güvenliğini sağlamak için tasarlanmış, yaygın olarak benimsenmiş bir güvenlik protokolüdür. App Service, müşterilerin web uygulamalarına gelen isteklerin güvenliğini sağlamak için TLS/SSL sertifikalarını kullanmasına olanak tanır. App Service şu anda müşterilerin web uygulamalarının güvenliğini sağlamak için farklı TLS özellikleri kümesini desteklemektedir.

İpucu

Azure Copilot'a şu soruları da sorabilirsiniz:

  • App Service'te hangi TLS sürümleri desteklenir?
  • TLS 1.3'ün önceki sürümlere göre avantajları nelerdir?
  • App Service Ortamı için şifre paketi sırasını nasıl değiştirebilirim?

Azure Copilot'u bulmak için Azure portalı araç çubuğunda Copilot'u seçin.

App Service'te DESTEKLENEN TLS Sürümü?

Web uygulamanıza gelen istekler için App Service TLS 1.0, 1.1, 1.2 ve 1.3 sürümlerini destekler.

En Düşük TLS Sürümünü Ayarla

App Service kaynağınızın En Düşük TLS sürümünü değiştirmek için şu adımları izleyin:

  1. Azure portalında uygulamanıza göz atın
  2. Soldaki menüde yapılandırma'yı ve ardından Genel ayarlar sekmesini seçin.
  3. En Düşük Gelen TLS Sürümü'nde açılan listeyi kullanarak istediğiniz sürümü seçin.
  4. Değişiklikleri kaydetmek için Kaydet'i seçin.

Azure İlkesi ile En Düşük TLS Sürümü

En düşük TLS sürümü söz konusu olduğunda kaynaklarınızı denetlemenize yardımcı olması için Azure İlkesi kullanabilirsiniz. App Service uygulamalarının en son TLS sürüm ilkesi tanımını kullanması ve değerleri istediğiniz en düşük TLS sürümüyle değiştirmesi gerekir bölümüne başvurabilirsiniz. Diğer App Service kaynaklarına yönelik benzer ilke tanımları için App Service için Azure İlkesi yerleşik ilke tanımları listesi bölümüne bakın.

En Düşük TLS Sürümü ve SCM En Düşük TLS Sürümü

App Service, web uygulamanıza ve SCM sitenize gelen istekler için en düşük TLS sürümünü ayarlamanıza da olanak tanır. Varsayılan olarak, web uygulamanıza ve SCM'ye gelen isteklerin en düşük TLS sürümü hem portalda hem de API'de 1.2 olarak ayarlanır.

TLS 1.3

TLS 1.3 ile en düşük TLS Şifreleme Paketi ayarı kullanılabilir. Buna, şifre paketi sırasının en üstünde yer alan iki şifreleme paketi dahildir:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

TLS 1.0 ve 1.1

TLS 1.0 ve 1.1 eski protokoller olarak kabul edilir ve artık güvenli olarak kabul edilmez. Genellikle müşterilerin en düşük TLS sürümü olarak TLS 1.2 veya üzerini kullanması önerilir. Web uygulaması oluştururken varsayılan en düşük TLS sürümü TLS 1.2'dir.

TLS 1.0 ve TLS 1.1 için geriye dönük uyumluluk sağlamak amacıyla App Service, web uygulamanıza gelen istekler için TLS 1.0 ve 1.1'i desteklemeye devam edecektir. Ancak varsayılan en düşük TLS sürümü TLS 1.2 olarak ayarlandığından, isteklerin reddedilmeyeceği için web uygulamanızdaki en düşük TLS sürüm yapılandırmalarını TLS 1.0 veya 1.1 olarak güncelleştirmeniz gerekir.

Önemli

Web uygulamalarına gelen istekler ve Azure'a gelen istekler farklı şekilde ele alınıyor. App Service, web uygulamalarına gelen istekler için TLS 1.0 ve 1.1'i desteklemeye devam edecektir. Arm veya API çağrıları gibi doğrudan Azure denetim düzlemine gelen istekler için TLS 1.0 veya 1.1 kullanılması önerilmez.

En düşük TLS şifreleme paketi

Not

En düşük TLS Şifreleme Paketi Temel SKU'larda desteklenir ve çok kiracılı App Service'te daha yüksektir.

En düşük TLS şifreleme paketi, değiştiremeyeceğiniz en uygun öncelik sırasına sahip sabit bir şifre paketleri listesi içerir. Şifreleme paketlerini yeniden sıralamak veya yeniden sıralamak, web uygulamalarınızı daha zayıf şifrelemeye maruz bırakabileceğinden önerilmez. Ayrıca bu listeye yeni veya farklı şifreleme paketleri ekleyemezsiniz. En düşük şifreleme paketini seçtiğinizde, sistem yalnızca bazı zayıf şifreleme paketlerini seçmeli olarak devre dışı bırakmanıza izin vermeden web uygulamanız için tüm daha az güvenli şifreleme paketlerini otomatik olarak devre dışı bırakır.

Şifreleme paketleri nedir ve App Service'te nasıl çalışır?

Şifreleme paketi, istemciler ve sunucular arasındaki ağ bağlantılarının güvenliğini sağlamaya yardımcı olmak için algoritmalar ve protokoller içeren bir yönerge kümesidir. Varsayılan olarak, ön ucun işletim sistemi hem App Service hem de istemci tarafından desteklenen en güvenli şifreleme paketini seçer. Ancak, istemci yalnızca zayıf şifreleme paketlerini destekliyorsa, ön ucun işletim sistemi her ikisi tarafından desteklenen zayıf bir şifreleme paketi seçer. Kuruluşunuzda hangi şifreleme paketlerine izin verilmemesi gerektiğiyle ilgili kısıtlamalar varsa, zayıf şifreleme paketlerinin web uygulamanız için devre dışı bırakılacağından emin olmak için web uygulamanızın en düşük TLS şifreleme paketi özelliğini güncelleştirebilirsiniz.

Küme ayarıyla App Service Ortamı (ASE) V3FrontEndSSLCipherSuiteOrder

Küme ayarıyla FrontEndSSLCipherSuiteOrder App Service Ortamı için, ayarlarınızı iki TLS 1.3 şifreleme paketi (TLS_AES_256_GCM_SHA384 ve TLS_AES_128_GCM_SHA256) içerecek şekilde güncelleştirmeniz gerekir. Güncelleştirmeden sonra değişikliğin etkili olması için ön ucunuzu yeniden başlatın. Belgelerde belirtildiği gibi gerekli iki şifreleme paketlerini yine de eklemeniz gerekir.

Uçtan uca TLS Şifrelemesi

Uçtan uca (E2E) TLS şifrelemesi Premium App Service planlarında (ve eski Standart App Service planlarında) kullanılabilir. App Service ön uçları ile uygulama iş yüklerini çalıştıran çalışanlar arasındaki ön uç küme içi trafik artık şifrelenebilir.

Sonraki adımlar