Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os SKUs do Gateway de Aplicativo V2 podem ser executados em um modo de operação aprovado pelo FIPS (Federal Information Processing Standard) 140, que normalmente é chamado de "modo FIPS". Com o modo FIPS, o Gateway de Aplicativo dá suporte a módulos criptográficos e criptografia de dados. O modo FIPS utiliza um módulo criptográfico validado pelo padrão FIPS 140-2, que garante algoritmos compatíveis com o padrão FIPS para criptografia, hash e assinatura quando ativado.
Nuvens e regiões
| Nuvem | Situação | Comportamento padrão |
|---|---|---|
| Governo do Azure (Fairfax) | Suportado | Habilitado para implantações por meio do Portal |
| Público | Suportado | Disabled |
| Microsoft Azure operado pela 21Vianet | Suportado | Disabled |
Como o FIPS 140 é obrigatório para agências federais dos EUA, o Gateway de Aplicativo V2 tem o modo FIPS habilitado por padrão na nuvem do Azure Governamental (Fairfax). Os clientes poderão desabilitar o modo FIPS se tiverem clientes herdados usando conjuntos de criptografia mais antigos, embora não seja recomendável. Como parte da conformidade do FedRAMP, o governo dos EUA determina que os sistemas operem em um modo aprovado pelo FIPS após agosto de 2024.
Para o restante das nuvens, os clientes devem optar por habilitar o modo FIPS.
Operação de modo FIPS
O Gateway de Aplicativo utiliza um processo de atualização sem interrupção para implementar configurações com o módulo criptográfico validado por FIPS em todas as instâncias. A duração para habilitar ou desabilitar o modo FIPS pode variar de 15 a 60 minutos, dependendo do número de instâncias configuradas ou em execução no momento.
Importante
A alteração da configuração do modo FIPS pode levar entre 15 e 60 minutos, dependendo do número de instâncias do gateway.
Uma vez habilitado, o gateway dá suporte exclusivamente a políticas TLS e conjuntos de criptografia que estão em conformidade com os padrões FIPS. Consequentemente, o portal exibe apenas a seleção restrita de políticas TLS (predefinidas e personalizadas).
Políticas TLS com suporte
O Gateway de Aplicativo oferece dois mecanismos para controlar a política TLS. Você pode usar uma política predefinida ou uma política personalizada. Para obter detalhes completos, visite a visão geral da política do TLS. Um recurso do Gateway de Aplicações habilitado para FIPS oferece suporte apenas às políticas a seguir.
Predefinida
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
V2 personalizado
Versões
- TLS 1.3
- TLS 1.2
Conjuntos de criptografia
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Devido à compatibilidade restrita das políticas TLS, a habilitação do FIPS seleciona automaticamente AppGwSslPolicy20220101 para "Política SSL" e "Perfil SSL". Ele pode ser modificado para usar outras políticas TLS compatíveis com FIPS posteriormente. Para dar suporte a clientes legados com outros conjuntos de cifras não compatíveis, é possível desabilitar o modo FIPS, embora não seja recomendado para recursos dentro do escopo da infraestrutura FedRAMP.
Habilitando o modo FIPS no SKU V2
Portal do Azure
Para controlar a configuração do modo FIPS por meio do portal do Azure,
- Navegue até o recurso do gateway de aplicativo.
- Abra a aba Configuração no painel do menu à esquerda.
- Ative o modo FIPS para "Habilitado".
Próximas etapas
Saiba mais sobre as políticas TLS com suporte no Gateway de Aplicativo.