Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Anwendungsgateway V2-SKUs können in einem FIPS (Federal Information Processing Standard) 140 genehmigten Betriebsmodus ausgeführt werden, der allgemein als "FIPS-Modus" bezeichnet wird. Im FIPS-Modus unterstützt Das Anwendungsgateway kryptografische Module und Datenverschlüsselung. Der FIPS-Modus ruft ein FIPS 140-2-validiertes kryptografisches Modul auf, das FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung sicherstellt, wenn diese aktiviert sind.
Clouds und Regionen
| Wolke | Der Status | Standardverhalten |
|---|---|---|
| Azure Government (Fairfax) | Unterstützt | Aktiviert für Bereitstellungen über das Portal |
| Öffentlichkeit | Unterstützt | Disabled |
| Microsoft Azure, betrieben von 21Vianet | Unterstützt | Disabled |
Da FIPS 140 für US-Bundesbehörden obligatorisch ist, ist der FIPS-Modus von Application Gateway V2 in der Azure Government(Fairfax)-Cloud standardmäßig aktiviert. Kunden können den FIPS-Modus deaktivieren, wenn sie ältere Clients mit alten Verschlüsselungssuiten verwenden, es wird jedoch nicht empfohlen. Im Rahmen der FedRAMP-Compliance beauftragt die US-Regierung, dass Systeme nach August 2024 in einem FIPS-genehmigten Modus arbeiten.
Für die restlichen Clouds müssen sich Kunden anmelden, um den FIPS-Modus zu aktivieren.
Betrieb im FIPS-Modus
Das Anwendungsgateway verwendet einen rollierenden Upgradeprozess, um Konfigurationen mit dem FIPS-validierten kryptografischen Modul in allen Instanzen zu implementieren. Die Dauer für das Aktivieren oder Deaktivieren des FIPS-Modus kann je nach Anzahl der konfigurierten oder derzeit ausgeführten Instanzen zwischen 15 und 60 Minuten liegen.
Von Bedeutung
Die Konfiguration des FIPS-Modus kann je nach Anzahl der Instanzen für Ihr Gateway zwischen 15 und 60 Minuten dauern.
Nach der Aktivierung unterstützt das Gateway ausschließlich TLS-Richtlinien und Verschlüsselungssammlungen, die DEN FIPS-Standards entsprechen. Folglich zeigt das Portal nur die eingeschränkte Auswahl von TLS-Richtlinien an (sowohl vordefinierte als auch benutzerdefiniert).
Unterstützte TLS-Richtlinien
Application Gateway bietet zwei Mechanismen für das Steuern der TLS-Richtlinie. Sie können entweder eine vordefinierte Richtlinie oder eine benutzerdefinierte Richtlinie verwenden. Ausführliche Informationen finden Sie in der TLS-Richtlinienübersicht. Eine FIPS-fähige Anwendungsgatewayressource unterstützt nur die folgenden Richtlinien.
Vordefiniert
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
Benutzerdefinierte V2
Versionen
- TLS 1.3
- TLS 1.2
Verschlüsselungssuiten
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Aufgrund der eingeschränkten Kompatibilität von TLS-Richtlinien wird bei der Aktivierung von FIPS automatisch AppGwSslPolicy20220101 sowohl für „SSL Policy“ als auch für „SSL Profile“ ausgewählt. Sie kann später geändert werden, um andere FIPS-kompatible TLS-Richtlinien zu verwenden. Um Ältere Clients mit anderen nicht kompatiblen Verschlüsselungssammlungen zu unterstützen, ist es möglich, den FIPS-Modus zu deaktivieren, obwohl er für Ressourcen im Rahmen der FedRAMP-Infrastruktur nicht empfohlen wird.
Aktivieren des FIPS-Modus in V2-SKU
Azure-Portal
So steuern Sie die FIPS-Moduseinstellung über das Azure-Portal
- Navigieren Sie zu Ihrer Anwendungsgatewayressource.
- Öffnen Sie das Blatt "Konfiguration" im linken Menübereich.
- Schalten Sie den FIPS-Modus auf "Aktiviert" um.
Nächste Schritte
Erfahren Sie mehr über die unterstützten TLS-Richtlinien im Anwendungsgateway.