Application Gateway の FIPS モード

Application Gateway V2 SKU は、FIPS (Federal Information Processing Standard) 140 承認済みモードで実行できます。これは一般に"FIPS モード" と呼ばれます。FIPS モードでは、Application Gateway は暗号化モジュールとデータ暗号化をサポートします。 FIPS モードでは、FIPS 140-2 検証済み暗号化モジュールを呼び出します。これにより、暗号化、ハッシュ、署名に対して FIPS 準拠のアルゴリズムが有効になります。

クラウドとリージョン

米国連邦政府機関では FIPS 140 が必須であるため、Application Gateway V2 は Azure Government (Fairfax) クラウドで既定で FIPS モードが有効になっています。 お客様は、古い暗号スイートを使用するレガシ クライアントがある場合は FIPS モードを無効にすることができますが、推奨されません。 FedRAMP コンプライアンスの一環として、米国政府は、システムが 2024 年 8 月以降に FIPS 承認モード で動作することを義務付けています。

残りのクラウドでは、FIPS モードを有効にすることを選択する必要があります。

FIPS モード操作

Application Gateway では、ローリング アップグレード プロセスを利用して、FIPS で検証された暗号化モジュールを含む構成をすべてのインスタンスに実装します。 FIPS モードを有効または無効にする期間は、構成済みまたは現在実行中のインスタンスの数に応じて、15 分から 60 分の範囲になる場合があります。

有効にすると、ゲートウェイは FIPS 標準に準拠する TLS ポリシーと暗号スイートのみをサポートします。 そのため、ポータルには、TLS ポリシーの制限された選択 (定義済みとカスタムの両方) のみが表示されます。

サポートされている TLS ポリシー

Application Gateway には、TLS ポリシーを制御するための 2 つのメカニズムが用意されています。 定義済みポリシーまたはカスタム ポリシーを使用できます。 詳細については、 TLS ポリシーの概要を参照してください。 FIPS 対応 Application Gateway リソースでは、次のポリシーのみがサポートされます。

定義済み

• AppGwSslPolicy20220101
• AppGwSslPolicy20220101S

カスタム V2

バージョン

• TLS 1.3
• TLS 1.2

暗号スイート

• TLS_AES_128_GCM_SHA256
• TLS_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS ポリシーの互換性が制限されているため、FIPS を有効にすると、"SSL ポリシー" と "SSL プロファイル" の両方に AppGwSslPolicy20220101 が自動的に選択されます。後で他の FIPS 準拠 TLS ポリシーを使用するように変更できます。 他の非準拠暗号スイートでレガシ クライアントをサポートするには、FIPS モードを無効にすることができますが、FedRAMP インフラストラクチャのスコープ内のリソースには推奨されません。

V2 SKU での FIPS モードの有効化

Azure Portal

Azure portal を使用して FIPS モードの設定を制御するには、

1. アプリケーション ゲートウェイ リソースに移動します。
2. 左側のメニュー ウィンドウで [構成] ブレードを開きます。
3. FIPS モードの切り替えを "有効" に切り替えます。

次のステップ

Application Gateway でサポートされている TLS ポリシーについて説明します。