我们的安全团队报告使用了弱密码,尽管我们在web应用程序上使用了TLS 1.2配置。我想弄清楚弱密码套件,以及我们如何从TLS 1.2配置中删除弱密码,因为我们可以在扫描网站上看到所有弱密码的详细信息。由于Azure功能\ web应用程序是一项托管服务,是否有方法禁用它们,或者是否可以修改应用程序的注册表设置?
对于Azure web应用程序,目前不支持从请求中删除密码套件。如本文档所示,无法对web应用程序的注册表设置进行任何配置更改-https://github.com/projectkudu/kudu/wiki/Azure-Web-App-sandbox#writing-注册。
为了获得高安全性,您只能将TLS设置设置为1.2,并且会与客户端协商使用它们都具有的任何密码的请求,因此默认情况下,客户端通常会使用其中一个不弱的密码。许多Azure客户都反馈了删除/禁用不安全密码的功能请求,但到目前为止,整个服务中只有RC4被禁用,如图所示https://feedback.azure.com/forums/169385-web-apps-formerly-websites/suggestions/7091994-disable-insecure-ciphers-in-azure-websites?page=2&per_page=20,尽管微软一直在审查密码套件。
目前,有3种可能的方法可以去除弱密码:
-
应用程序服务环境-这使您可以通过Azure资源管理器设置自己的密码-https://learn.microsoft.com/en-us/azure/app-service/environment/app-service-app-service-environment-custom-settings#change-tls密码套件顺序。我复制了这篇文章,发现可以通过修改中的clusterSettings来设置自己的密码或更改密码套件的顺序https://resources.azure.com/.
-
使用Azure FrontDoor–您可以通过Azure门户在自定义域HTTPS设置中配置Azure FrontDoor中的最低TLS版本。配置TLS1.2后,仅支持以下强密码套件:TLS_ ECDHE_RSA_WITH_AES_256_GCM_SHA384,etls-edche_RSA_WITH_AES_128_GCM_SHA256,TLS_ DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256。你可以在这里找到更多信息-https://learn.microsoft.com/en-us/azure/frontdoor/front-door-faq#tls-配置。
-
使用应用程序网关–这使您可以指定一个适合组织安全要求并有助于满足法规遵从性要求的中央TLS策略。TLS策略包括对TLS协议版本、密码套件以及在TLS握手期间使用密码的顺序的控制,如本文档所示https://learn.microsoft.com/en-us/azure/application-gateway/application-gateway-ssl-policy-overview.