Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As SKUs Application Gateway V2 podem funcionar num modo de funcionamento aprovado pelo FIPS (Federal Information Processing Standard) 140, que é comumente referido como "modo FIPS". Com o modo FIPS, o Application Gateway suporta módulos criptográficos e encriptação de dados. O modo FIPS chama um módulo criptográfico validado pelo FIPS 140-2 que garante algoritmos compatíveis com FIPS para encriptação, hash e assinatura quando ativado.
Nuvens e Regiões
| Nuvem | Situação | Comportamento padrão |
|---|---|---|
| Azure Government (Fairfax) | Suportado | Ativado para implementações através do Portal |
| Public | Suportado | Disabled |
| Microsoft Azure operado pela 21Vianet | Suportado | Disabled |
Como o FIPS 140 é obrigatório para as agências federais dos EUA, o Application Gateway V2 tem o modo FIPS ativado por defeito na cloud Azure Government (Fairfax). Os clientes podem desativar o modo FIPS se tiverem clientes legados a usar conjuntos de cifra mais antigos, embora não seja recomendado. Como parte da conformidade com o FedRAMP, o Governo dos EUA exige que os sistemas operem em modo aprovado pelo FIPS após agosto de 2024.
Para o resto das clouds, os clientes devem optar por ativar o modo FIPS.
Funcionamento em modo FIPS
O Application Gateway utiliza um processo de atualização contínua para implementar configurações com o módulo criptográfico validado pelo FIPS em todas as instâncias. A duração para ativar ou desativar o modo FIPS pode variar entre 15 e 60 minutos, dependendo do número de instâncias configuradas ou em execução.
Importante
A alteração de configuração do modo FIPS pode demorar entre 15 a 60 minutos, dependendo do número de instâncias do seu gateway.
Uma vez ativado, o gateway suporta exclusivamente políticas TLS e conjuntos de cifras que cumprem os padrões FIPS. Consequentemente, o portal mostra apenas a seleção restrita de políticas TLS (tanto Predefinidas como Personalizadas).
Políticas TLS suportadas
O Application Gateway oferece dois mecanismos para controlar a política TLS. Pode usar uma política pré-definida ou uma política personalizada. Para detalhes completos, visite a visão geral da política TLS. Um recurso de Gateway de Aplicações habilitado para FIPS suporta apenas as seguintes políticas.
Predefinido
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
Custom V2
Versões
- TLS 1,3
- TLS 1,2
Conjuntos de cifras
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Devido à compatibilidade restrita das políticas TLS, ativar o FIPS seleciona automaticamente o AppGwSslPolicy20220101 tanto para "Política SSL" como para "Perfil SSL." Pode ser modificado para usar outras políticas TLS compatíveis com FIPS mais tarde. Para suportar clientes legados com outros conjuntos de cifras não compatíveis, é possível desativar o modo FIPS, embora não seja recomendado para recursos dentro do âmbito da infraestrutura FedRAMP.
Ativar o modo FIPS no SKU V2
portal do Azure
Para controlar a definição do modo FIPS através do portal Azure,
- Navegue até ao recurso do seu portal de aplicações.
- Abre a lâmina de Configuração no menu esquerdo.
- Altera o modo FIPS para "Ativado".
Próximos passos
Conheça as políticas TLS suportadas no Application Gateway.