你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
应用程序网关 V2 SKU 可以在 FIPS(联邦信息处理标准)140 批准的作模式下运行,这通常称为“FIPS 模式”。使用 FIPS 模式,应用程序网关支持加密模块和数据加密。 FIPS 模式调用 FIPS 140-2 验证的加密模块,以确保启用时符合 FIPS 的加密、哈希和签名算法。
云和区域
| 云 | 状态 | 默认行为 |
|---|---|---|
| Azure 政府(费尔法克斯) | 已支持 | 通过门户启用部署 |
| 公众 | 已支持 | Disabled |
| 由世纪互联运营的 Microsoft Azure | 已支持 | Disabled |
由于美国联邦机构强制使用 FIPS 140,因此应用程序网关 V2 默认在 Azure 政府(Fairfax)云中启用了 FIPS 模式。 如果客户具有旧版密码套件的旧客户端,则可以禁用 FIPS 模式,但不建议这样做。 作为 FedRAMP 合规性的一部分,美国政府规定系统在 2024 年 8 月之后以 FIPS 批准的模式 运行。
对于其余云,客户必须选择加入以启用 FIPS 模式。
FIPS 模式操作
应用程序网关利用滚动升级过程在所有实例中使用 FIPS 验证的加密模块实现配置。 启用或禁用 FIPS 模式的持续时间可能从 15 到 60 分钟不等,具体取决于已配置实例或当前正在运行的实例数。
重要
FIPS 模式配置更改可能需要 15 到 60 分钟,具体取决于网关的实例数。
启用后,网关仅支持符合 FIPS 标准的 TLS 策略和密码套件。 因此,门户仅显示 TLS 策略(预定义和自定义)的受限选择。
支持的 TLS 策略
应用程序网关提供两种控制 TLS 策略的机制。 可以使用预定义策略或自定义策略。 有关完整详细信息,请访问 TLS 策略概述。 已启用 FIPS 的应用程序网关资源仅支持以下策略。
Predefined
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
自定义 V2
版本
- TLS 1.3
- TLS 1.2
密码套件
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
由于 TLS 策略的兼容性受限,启用 FIPS 会自动为“SSL 策略”和“SSL 配置文件”选择 AppGwSslPolicy20220101。以后可以修改它以使用其他符合 FIPS 的 TLS 策略。 要支持其他不符合标准的密码套件的旧客户端,可以禁用 FIPS 模式,但不建议对 FedRAMP 基础设施范围内的资源这样做。
在 V2 SKU 中启用 FIPS 模式
Azure 门户
若要通过 Azure 门户控制 FIPS 模式设置,请执行以下作:
- 进入你的应用程序网关资源。
- 在左侧菜单窗格中打开“配置”边栏选项卡。
- 将 FIPS 模式开关切换至“启用”。