Application Gateway'de FIPS modu

Application Gateway V2 SKU'ları genellikle "FIPS modu" olarak adlandırılan FIPS (Federal Bilgi İşleme Standardı) 140 onaylı işlem modunda çalıştırılabilir. FIPS modunda Application Gateway şifreleme modüllerini ve veri şifrelemeyi destekler. FIPS modu, etkinleştirildiğinde şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar sağlayan bir FIPS 140-2 doğrulanmış şifreleme modülünü çağırır.

Bulutlar ve Bölgeler

Bulut Statü Varsayılan davranış
Azure Kamu (Fairfax) Destekleniyor Portal aracılığıyla dağıtımlar için etkinleştirildi
Public Destekleniyor Disabled
21Vianet tarafından çalıştırılan Microsoft Azure Destekleniyor Disabled

FIPS 140, ABD federal kurumları için zorunlu olduğundan Application Gateway V2' nin Azure Kamu (Fairfax) bulutunda fips modu varsayılan olarak etkindir. Müşteriler, eski şifreleme paketlerini kullanan eski istemcileri varsa FIPS modunu devre dışı bırakabilir, ancak bu önerilmez. ABD Hükümeti, FEDRAMP uyumluluğu kapsamında, Ağustos 2024'ten sonra sistemlerin FIPS onaylı bir modda çalıştırılmasını zorunlu kılmaktadır.

Bulutların geri kalanı için müşterilerin FIPS modunu etkinleştirmeyi kabul etmesi gerekir.

FIPS modunda çalışma

Application Gateway, tüm örneklerde FIPS tarafından doğrulanmış şifreleme modülüyle yapılandırmaları uygulamak için sıralı bir yükseltme işlemi kullanır. FIPS modunu etkinleştirme veya devre dışı bırakma süresi, yapılandırılan veya çalışmakta olan örneklerin sayısına bağlı olarak 15 ila 60 dakika arasında değişebilir.

Önemli

FIPS modu yapılandırma değişikliği, ağ geçidinizin örnek sayısına bağlı olarak 15 ila 60 dakika arasında sürebilir.

Ağ geçidi etkinleştirildikten sonra yalnızca FIPS standartlarına uygun TLS ilkelerini ve şifre paketlerini destekler. Sonuç olarak, portal yalnızca kısıtlı TLS ilkeleri seçimini görüntüler (hem Önceden Tanımlanmış hem de Özel).

Desteklenen TLS ilkeleri

Application Gateway, TLS ilkesini denetlemek için iki mekanizma sunar. Önceden Tanımlanmış ilke veya Özel ilke kullanabilirsiniz. Tüm ayrıntılar için TLS ilkesine genel bakış bölümünü ziyaret edin. FIPS özellikli Application Gateway kaynağı yalnızca aşağıdaki ilkeleri destekler.

Önceden tanımlı

  • AppGwSslPolicy20220101
  • AppGwSslPolicy20220101S

Özel V2

Sürümleri

  • TLS 1.3
  • TLS 1.2

Şifre paketleri

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS ilkelerinin kısıtlı uyumluluğu nedeniyle, FIPS'nin etkinleştirilmesi otomatik olarak hem "SSL İlkesi" hem de "SSL Profili" için AppGwSslPolicy20220101'i seçer. Daha sonra diğer FIPS uyumlu TLS ilkelerini kullanacak şekilde değiştirilebilir. Eski istemcileri diğer uyumsuz şifreleme paketleriyle desteklemek için FIPS modunu devre dışı bırakmak mümkündür, ancak FedRAMP altyapısı kapsamındaki kaynaklar için önerilmez.

V2 SKU'da FIPS modunu etkinleştirme

Azure portalı

Azure portalı aracılığıyla FIPS modu ayarını denetlemek için

  1. Uygulama ağ geçidi kaynağınıza gidin.
  2. Sol menü bölmesinde Yapılandırma panelini açın.
  3. FIPS modu geçiş düğmesini "Etkin" olarak değiştirin.

Sonraki Adımlar

Application Gateway'de desteklenen TLS ilkeleri hakkında bilgi edinin.