当前位置: 首页 > 知识库问答 >
问题:

Azure应用程序服务-如何禁用弱密码?

赖渊
2023-03-14

我有一个web应用程序作为Azure应用程序服务运行。我们最近进行了一次安全审查,强调了弱密码可用,应该禁用这些密码。密码是:

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA

我已经看到可以通过创建一个隔离的应用程序服务(https://docs.microsoft.com/en-us/azure/app-service/environment/app-service-app-service-environment-custom-settings#change-tls-cipher-suite-order)来禁用这些。但是这增加了大量的费用和复杂性。是否可以在不需要隔离应用程序服务的情况下禁用这些服务?

共有1个答案

冯霖
2023-03-14

目前,有三种可能的方法可以删除弱密码:

应用程序服务环境-这允许您通过Azure资源管理器设置自己的密码-更改TLS密码套件顺序。我复制了这一点,并发现可以通过修改clusterSettings来设置您自己的密码或更改密码套件顺序,如下所示:

使用Azure FrontDoor–您可以通过Azure门户在自定义域HTTPS设置中的Azure FrontDoor中配置最低TLS版本。配置TLS1.2后,仅支持以下强密码套件:

TLS\u ECDHE\u RSA\u WITH\u AES\u 256\u GCM\u SHA384

TLS\u ECDHE\u RSA\u WITH\u AES\u 128\u GCM\u SHA256

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS\U DHE\U RSA\U WITH\u AES\u 128\u GCM\u SHA256

您可以在此处找到有关此前门TLS配置的更多信息。

使用应用程序网关–这允许您指定一个适合组织安全需求并有助于满足法规遵从性要求的中央TLS策略。TLS策略包括控制TLS协议版本、密码套件以及TLS握手期间使用密码的顺序,如此处所示-应用程序网关SSL策略概述

 类似资料:
  • 我认为Azure的优点之一是,我可以根据我希望服务何时可用来打开和关闭服务。 然而,我看不到如何暂停我的应用程序服务计划。有可能吗? 我想使用S1层,这样我就可以使用它提供的东西。然而,当我不使用它时,我希望能够暂停成本积累。 我从应用程序服务定价帮助中看到,即使某个应用程序处于停止状态,仍将为其计费。 然而,这种联系也清楚地表明,我只为我使用的东西付费。那么这是如何运作的呢?

  • 我对将CPU密集型web应用部署到Azure应用程序服务实例很感兴趣。我找不到有关Azure应用程序服务的CPU使用率和/或限制的任何详细信息。我担心的是,如果不了解我的应用程序的CPU规格/限制,我就无法规划如何准确规划基于云的物理基础设施(使用Azure应用程序服务)。 我的应用程序将使用OpenCV计算机视觉库对数百/数千张高质量图像进行重图像处理、人脸检测和人脸识别。这自然是一个CPU密集

  • 我正在探索将java web应用程序移动到Azure应用程序服务的可能性。应用程序on prem在启动时读取属性文件。 是否有可能将属性文件传递或放置到应用服务?如果没有,建议将此类遗留应用程序移动到Azure应用服务?

  • 我正在使用angular框架构建前端应用程序。有没有办法,我如何将应用程序部署到Azure Linux应用程序服务? 我已经用NodeJS堆栈创建了Web应用程序,并将其分配给Linux应用程序服务。我用命令构建了我的angular应用程序,并将其部署到这个web应用程序中。当我使用url:

  • 我的创业公司获得了Azure BizSpark订阅。我刚刚创建了一个API应用程序和应用程序服务计划。我们公司位于北欧,但API服务和应用程序服务计划的位置均位于“美国中南部”。创建API应用程序时,我没有看到任何指定位置的选项。我也看不到任何选项,以改变位置,现在该应用程序已创建。这是BizSpark订阅的限制还是我可以改变位置?

  • 我有一个nodejs应用程序,它只不过是一个使用微软botbuilder框架构建的机器人。我创建了azure应用程序服务来托管此应用程序。我想找到一种方法,将所有应用程序日志和web服务器日志(如果可能的话)持久化到某个持久化存储中。就像本地web应用程序一样,我们可以在应用程序服务器上查找日志 在做了一些研究之后,我找到了微软关于这方面的官方文件,但看起来它有以下局限性。 我们不能使用应用程序服