Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
APLICA-SE A: Todas as camadas de gerenciamento de API
O Gerenciamento de API do Azure dá suporte a várias versões do protocolo TLS (Transport Layer Security) para proteger o tráfego de API para:
- Lado do cliente (gateway de gerenciamento de cliente para API)
- Lado backend (gateway de gestão de API para backend)
A Gestão de API também suporta vários conjuntos de cifras utilizados pelo gateway de API.
A Gestão de APIs suporta versões TLS até à TLS 1.3 para ligação de clientes e backends, bem como vários conjuntos de cifras suportados. Este guia mostra-lhe como gerir protocolos e configuração de cifras para uma instância da Gestão de API do Azure.
Nota
- Se você estiver usando o gateway auto-hospedado, consulte Segurança do gateway auto-hospedado para gerenciar protocolos TLS e pacotes de codificação.
- As seguintes camadas não suportam alterações na configuração de cifra padrão: Consumo, Basic v2, Standard v2, Premium v2.
- Em espaços de trabalho, o gateway gerenciado não oferece suporte a alterações no protocolo padrão e na configuração de cifra.
Nota
Dependendo da camada de serviço de Gerenciamento de API, as alterações podem levar de 15 a 45 minutos ou mais para serem aplicadas. Uma instância no nível de serviço para programadores tem interrupção durante o processo. As instâncias nos escalões Básico e Superior não têm períodos de inatividade durante o processo.
Pré-requisitos
- Uma instância de gerenciamento de API. Crie um, caso ainda não o tenha feito.
Vá para a sua instância de Gestão de API
No portal do Azure, procure e selecione serviços de Gerenciamento de API:
Na página de serviços de Gerenciamento de API, selecione sua instância de Gerenciamento de API:
Como gerenciar protocolos TLS e pacotes de codificação
- No menu lateral da sua instância de Gestão de APIs, em Segurança, selecione Protocolos + cifras.
- Habilite ou desabilite os protocolos ou cifras desejados.
- Selecione Guardar.
Nota
Alguns protocolos ou pacotes de codificação (como o TLS 1.2 de back-end) não podem ser habilitados ou desabilitados no portal do Azure. Em vez disso, você precisará aplicar a chamada da API REST. Use a estrutura properties.customProperties na API REST Criar/Atualizar Serviço de Gestão de API.
Suporte a TLS 1.3
O suporte ao TLS 1.3 está disponível em todos os níveis de serviços de Gestão de APIs. Na maioria dos casos criados nessas camadas de serviço, o TLS 1.3 é permanentemente habilitado por padrão para conexões do lado do cliente. A ativação do TLS 1.3 de back-end é opcional. O TLS 1.2 também é habilitado por padrão nos lados do cliente e do back-end.
O TLS 1.3 é uma revisão importante do protocolo TLS que oferece segurança e desempenho aprimorados. Ele inclui recursos como latência reduzida de handshake e segurança aprimorada contra certos tipos de ataques.
Opcionalmente, habilite o TLS 1.3 quando os clientes exigirem renegociação de certificado
O TLS 1.3 não suporta renegociação de certificados. A renegociação de certificados no TLS permite que o cliente e o servidor renegociem parâmetros de conexão no meio da sessão para autenticação sem encerrar a conexão.
As instâncias de Gestão de APIs que são detetadas como dependentes da renegociação de certificados do cliente não têm o TLS 1.3 ativado por defeito. Nestes casos, pode optar por ativar manualmente o TLS 1.3.
Advertência
Se suas APIs forem acessadas por clientes compatíveis com TLS que dependem da renegociação de certificados, habilitar o TLS 1.3 para conexões do lado do cliente fará com que esses clientes não consigam se conectar. Analise as APIs que usaram recentemente a renegociação de certificados antes de habilitar o TLS 1.3 do lado do cliente em qualquer serviço que não o tenha habilitado por padrão.
Para habilitar o TLS 1.3 para conexões do lado do cliente nessas instâncias, defina as configurações na página Protocolos + cifras :
- Na página Protocolos + cifras , na seção Protocolo cliente , ao lado de TLS 1.3, selecione Exibir e gerenciar configuração.
- Analise a lista de renegociações recentes de certificados de clientes. A lista mostra operações de API em que os clientes usaram recentemente a renegociação de certificados de cliente.
- Se optar por ativar o TLS 1.3 para ligações do lado do cliente, em Alterar o estado do TLS 1.3, selecione Ativar.
- Selecione Fechar.
Depois de habilitar o TLS 1.3, revise as métricas de solicitação de gateway ou as exceções relacionadas ao TLS em logs que indicam falhas de conexão TLS. Se necessário, desative o TLS 1.3 para conexões do lado do cliente e faça o downgrade para o TLS 1.2.
Se você precisar desabilitar o TLS 1.3 para conexões do lado do cliente nessas instâncias, defina as configurações na página Protocolos + cifras :
- Na página Protocolos + cifras , na seção Protocolo cliente , ao lado de TLS 1.3, selecione Exibir e gerenciar configuração.
- Em Alterar o estado TLS 1.3, escolhe Desativar.
- Selecione Fechar.
TLS 1.3 de back-end
A ativação do TLS 1.3 de back-end é opcional. Se você habilitá-lo, o Gerenciamento de API usará o TLS 1.3 para conexões com seus serviços de back-end.
Advertência
Habilitar o TLS 1.3 para conexões de back-end causará falhas de conexão com serviços de back-end que dependem da renegociação de certificados de cliente entre o Gerenciamento de API e os back-ends.
Você pode habilitar o TLS 1.3 de back-end na página Protocolos + cifras :
- Na página Protocolos + cifras , na secção de protocolos Backend , ao lado do TLS 1.3, selecione Visualizar e gerir configuração.
- Em Alterar o estado do TLS 1.3, selecione Ativar.
- Selecione Guardar.
Conteúdo relacionado
- Para obter recomendações sobre como proteger sua instância de Gerenciamento de API, consulte Linha de base de segurança do Azure para Gerenciamento de API.
- Saiba mais sobre as considerações de segurança nas práticas recomendadas da Arquitetura de Gerenciamento de API para Gerenciamento de API.
- Saiba mais sobre TLS.