Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
SE APLICA A: Todos los niveles de API Management
Azure API Management admite varias versiones del protocolo seguridad de la capa de transporte (TLS) para proteger el tráfico de API para:
- Lado cliente (cliente a puerta de enlace de API Management)
- Parte del backend (puerta de enlace de gestión de API al backend)
API Management también admite varios conjuntos de cifrado usados por la puerta de enlace de API.
API Management admite versiones TLS de hasta TLS 1.3 para la conectividad de cliente y back-end y varios conjuntos de cifrado admitidos. En esta guía se muestra cómo administrar los protocolos y la configuración de cifrado para una instancia de Azure API Management.
Nota:
- Si va a usar la puerta de enlace autohospedada, consulte Seguridad de puerta de enlace autohospedada para administrar protocolos TLS y conjuntos de cifrado.
- Los siguientes niveles no admiten cambios en la configuración de cifrado predeterminada: Consumo, Basic v2, Standard v2, Premium v2.
- En las áreas de trabajo, la puerta de enlace administrada no admite cambios en el protocolo predeterminado y la configuración de cifrado.
Nota:
En función del nivel de servicio de API Management, los cambios pueden tardar entre 15 y 45 minutos o más en aplicarse. Una instancia del nivel de servicio Desarrollador tiene tiempo de inactividad durante el proceso. Las instancias de los niveles Básico y superiores no tienen tiempo de inactividad durante el proceso.
Requisitos previos
- Una instancia de API Management. Crea una si todavía no lo has hecho.
Vaya a la instancia de API Management.
En el Azure portal, busque y seleccione API Management services:
En la página API Management services, seleccione la instancia de API Management:
Administración de protocolos TLS y conjuntos de cifrado
- En el menú de la barra lateral de la instancia de API Management, en Security, seleccione Protocols + cifrados.
- Habilite o deshabilite los protocolos o los cifrados que quiera.
- Seleccione Guardar.
Nota:
Algunos protocolos o conjuntos de cifrado, como TLS 1.2 del lado back-end, no se pueden habilitar ni deshabilitar desde el Azure portal. En su lugar, deberá aplicar la llamada a la API REST para estas actualizaciones (solo en el lado back-end). Use la estructura properties.customProperties en la API REST Create/Update API Management Service.
Compatibilidad con TLS 1.3
La compatibilidad con TLS 1.3 está disponible en todos los niveles de servicio API Management. En la mayoría de los casos creados en esos niveles de servicio, TLS 1.3 está habilitado permanentemente de forma predeterminada para las conexiones del lado cliente. La habilitación de TLS 1.3 del lado back-end es opcional. TLS 1.2 también está habilitado de forma predeterminada en los lados de cliente y back-end.
TLS 1.3 es una revisión importante del protocolo TLS que proporciona una mayor seguridad y rendimiento. Incluye características como la latencia reducida del protocolo de enlace y una mayor seguridad frente a determinados tipos de ataques.
Opcionalmente, habilite TLS 1.3 cuando los clientes requieran renegociación de certificados.
TLS 1.3 no admite la renegociación de certificados. La renegociación de certificados en TLS permite al cliente y al servidor renegociar los parámetros de conexión a mitad de sesión para la autenticación sin terminar la conexión.
Instancias de API Management que se detectan como dependientes de la renegociación de certificados de cliente no tienen TLS 1.3 habilitado por defecto. En estas instancias, puede optar por habilitar TLS 1.3 manualmente.
Advertencia
Si los clientes compatibles con TLS acceden a las API que dependen de la renegociación de certificados, habilitar TLS 1.3 para las conexiones del lado cliente hará que esos clientes no se conecten. Revise las API que recientemente usaron la renegociación de certificados antes de habilitar TLS 1.3 del lado cliente en cualquier servicio que no lo tenga habilitado de forma predeterminada.
Para habilitar TLS 1.3 para las conexiones del lado cliente en estas instancias, configure los valores en la página Protocolos y cifrados :
- En la página Protocolos y cifrados , en la sección Protocolo de cliente , junto a TLS 1.3, seleccione Ver y administrar la configuración.
- Revise la lista de renegociaciones de certificados de cliente recientes. En la lista se muestran las operaciones de API en las que los clientes han usado recientemente la renegociación de certificados de cliente.
- Si decide habilitar TLS 1.3 para conexiones del lado cliente, en Cambiar el estado de TLS 1.3, seleccione Habilitar.
- Seleccione Cerrar.
Después de habilitar TLS 1.3, revise las métricas de solicitud de puerta de enlace o las excepciones relacionadas con TLS en los registros que indican errores de conexión TLS. Si es necesario, deshabilite TLS 1.3 para las conexiones del lado cliente y cambie a TLS 1.2.
Si necesita deshabilitar TLS 1.3 para las conexiones del lado cliente en estas instancias, configure los valores en la página Protocolos y cifrados :
- En la página Protocolos y cifrados , en la sección Protocolo de cliente , junto a TLS 1.3, seleccione Ver y administrar la configuración.
- En Cambiar el estado de TLS 1.3, elija Deshabilitar.
- Seleccione Cerrar.
TLS 1.3 del lado backend
La habilitación de TLS 1.3 del lado back-end es opcional. Si lo habilita, API Management usa TLS 1.3 para las conexiones a los servicios back-end.
Advertencia
La habilitación de TLS 1.3 para las conexiones del lado back-end provocará errores de conexión con servicios back-end que dependen de la renegociación de certificados de cliente entre API Management y los back-end.
Puede habilitar TLS 1.3 del lado back-end desde la página Protocolos y cifrados :
- En la página Protocolos y cifrados , en la sección Protocolo de back-end , junto a TLS 1.3, seleccione Ver y administrar la configuración.
- En Cambiar el estado de TLS 1.3, seleccione Habilitar.
- Seleccione Guardar.
Contenido relacionado
- Para obtener recomendaciones sobre cómo proteger la instancia de API Management, consulte Azure línea de base de seguridad para API Management.
- Obtenga información sobre las consideraciones de seguridad en las mejores prácticas de la arquitectura de Gestión de API para la gestión de API.
- Más información sobre TLS.