我有一个作为Azure应用服务运行的Web应用程序。我们最近进行了一次安全审查,它强调存在弱密码,应禁用这些密码。这些密码是:
- TLS_ECDHE_RSA与不良事件_256_CBC_SHA384
- TLS_ECDHE_RSA与不良事件_256_CBC_SHA
- 使用不良事件256_GCM_SHA384的TLS_RSA
- 使用不良事件256_CBC_SHA256的TLS_RSA
- TLS_RSA_带有不良事件_256_CBC_SHA
- TLS_ECDHE_RSA与不良事件_128_CBC_SHA256
- TLS_ECDHE_RSA与不良事件_128_CBC_SHA
- TLS_RSA_使用不良事件_128_GCM_SHA256
- 使用不良事件128 CBCSHA 256的TLS_RSA
- TLS_RSA_带有不良事件_128_CBC_SHA
我发现可以通过创建一个独立的应用服务来禁用这些功能(https://learn.microsoft.com/en-us/azure/app-service/environment/app-service-app-service-environment-custom-settings#change-tls-cipher-suite-order),但这会增加大量的费用和复杂性,是否可以在不需要独立应用服务的情况下禁用这些功能?
2条答案
按热度按时间mctunoxg1#
目前,有3种可能的方法可以删除弱密码:
应用服务环境-这使你能够通过Azure资源管理器-更改TLS密码套件顺序来设置自己的密码。我复制了这篇文章,发现可以通过修改clusterSettings来设置自己的密码或更改密码套件顺序,如下所示:
使用Azure Front Door-你可以通过Azure门户在自定义域HTTPS设置中的Azure Front Door中配置最低TLS版本。配置TLS1.2后,仅支持以下强加密套件:
TLS_ECDHE_RSA与不良事件_256_GCM_SHA384
TLS_ECDHE_RSA与不良事件_128_GCM_SHA256
TLS_DHE_RSA与不良事件_256_GCM_SHA384
TLS_DHE_RSA与不良事件_128_GCM_SHA256
您可以在这里找到更多信息-前门TLS配置。
使用应用程序网关-这使您可以指定一个适合组织安全要求并有助于满足法规遵从性要求的中央TLS策略。TLS策略包括控制TLS协议版本以及密码套件和TLS握手期间使用密码的顺序,如此处所示-Application Gateway SSL Policy Overview
yks3o0rb2#
最近,通过API调用为多租户高级应用服务计划上的Web应用禁用较弱的TLS密码套件添加了另一个选项。
详情可在此处找到:Public Preview: Disabling Weaker TLS Cipher Suites