Azure 應用程式閘道 TLS相關設定與應用

51mobile

Azure 應用程式閘道 TLS、WAF、CipherSuites

來源：https://www.youtube.com/watch?v=0OLW9R87__8(開新視窗)



使用 Azure 應用程式閘道 Application Gateway 來集中管理 TLS/SSL 憑證，並減少後端伺服器陣列的加密和解密額外負荷。
此集中式 TLS 處理也可讓您指定符合組織安全性需求的中央 TLS 原則。 這可協助您符合法規需求，以及安全性指導方針和建議的做法。



https://learn.microsoft.com/en-u ... ateway/ssl-overview


TLS 原則包含 TLS 通訊協定版本的控制，以及加密套件，以及 TLS 交握期間使用加密的順序。 應用程式閘道提供兩種控制 TLS 原則的機制。 您可以使用預先定義的原則或自訂原則。


https://learn.microsoft.com/zh-t ... ssl-policy-overview

Application Gateway 可以用來做分流

https://ithelp.ithome.com.tw/articles/10249537

Application Gateway 中 WAF 的建立流程

https://ithelp.ithome.com.tw/articles/10250978


想改 CipherSuites 傳輸層安全性 (TLS) 登錄設定



https://learn.microsoft.com/zh-t ... tabs=diffie-hellman


使用 IISCrypto 與 PowerShell 修改 密碼套件 CipherSuite

Windows 的 Cipher Suite 為作業系統層設定，修改結果一體適用於 IIS、SQL、遠端桌面... 等各服務

要停用不夠安全的 Cipher Suite，免費工具軟體 - IISCrypto 是最簡便的選擇。
https://www.nartac.com/Products/IISCrypto/

也推薦用 nmap ssl-enum-ciphers 即時檢查 Cipher Suite 狀態，對照修改前後的變化
https://blog.darkthread.net/blog/rdp-ssl-cipher-vulnerability/

Cipher Suite 也能透過修改 Registry 停用。其位置在於 HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002

https://blog.darkthread.net/blog/disable-cipher-suites/



資安公司最常見的謬誤

https://ithelp.ithome.com.tw/questions/10204637


Application Gateway TLS policy overview

https://learn.microsoft.com/en-u ... w#custom-tls-policy


在 Application Gateway 中 設定 TLS 版本 及 密碼套件 cipher suites 內容

https://learn.microsoft.com/en-u ... l-policy-powershell



閘道卸載模式 SSL Offloader

https://learn.microsoft.com/zh-t ... /gateway-offloading