【问题标题】:Azure App Service (Web App) PCI ComplianceAzure 应用服务(Web 应用)PCI 合规性
【发布时间】:2017-06-06 14:39:08
【问题描述】:

很难找到有关 Azure 应用服务(Web 应用)和 PCI 合规性的明确答案。 PCI 标准 3.1 要求禁用 TLS 1.0 以及块大小为 64 位的块密码算法,例如 DES 和 3DES。显然 Azure Web Apps 符合 PCI 标准 3.0,但不符合 3.1。微软是否有关于何时满足更新标准 (3.1) 的官方立场?用于 Web 应用服务?有人建议我可以使用应用服务环境,以便能够禁用 TLS 1.0 和过时的密码,但这(当然)是一项高级服务,而且成本更高。由于上述问题,我们在 Azure 中托管的客户站点未能通过其 PCI 合规性扫描。将我的客户站点移动到应用服务环境是我唯一的解决方案吗?

【问题讨论】:

  • 我投票结束这个问题,因为这是一个合规问题,而不是一个编程问题。
  • 您可以在 Microsoft 信任中心 here 找到所有与合规性相关的内容。至于为什么要给定合规级别?没有办法回答这个问题。合规程序需要很长时间。

标签: azure pci-compliance


【解决方案1】:

从 2018 年 4 月 30 日开始,您将能够管理您的应用服务将接受哪些 TLS 版本。

我找不到要链接的来源,但我确实收到了一封包含以下内容的电子邮件:

截至 2018 年 4 月 30 日:

  • 通过 Azure 门户和 Azure 资源管理器模板,您将能够选择所需的最低 TLS 版本(1.1 或 1.2) 为您的应用程序。

  • 我们会将应用服务应用配置为仅需要较新的 TLS 版本(1.1 和 1.2)——比所需日期早两个月。

2018 年 6 月 30 日之后:

  • 所有新创建的应用服务应用都将自动配置为需要 TLS 1.2。您仍将保留配置选项 如有必要,为您的应用程序提供早期 TLS 版本以确保兼容性 使用较旧的浏览器客户端。

关于您关于从密码套件中删除 DES 和 3DES 的问题,该问题原定于 2017 年 3 月 (https://appsvcssl.trafficmanager.net/) 进行,我的测试表明它已被删除(至少从在美国东部创建的新网络应用程序中删除) )。

【讨论】:

  • 是的........我看过那篇文章。因此,如果我希望我的客户站点通过其 PCI 合规性扫描,我唯一的选择似乎是将它们移动到应用服务环境,对吗?我必须说,这有点令人沮丧! Microsoft 声明他们的 Web App 平台符合 PCI 标准,但事实并非如此(至少就最新标准而言)。如果我想通过当前的标准,我不得不为应用服务环境支付额外费用。
  • 我认为这是“开箱即用”获得 PCI 合规性的唯一选择,但我在答案中添加了一些 C# 代码,应该在应用层禁用 TLS1.0 和 SSL3如果这是 PCI 3.0 和 PCI 3.1 之间的唯一区别,这可能会有所帮助
  • 奇怪,我好像忘记了那是哪一年。是的,根据这个网站appsvcssl.trafficmanager.net,看起来应该已经禁用了 3DES 我刚刚创建了一个新的网络应用程序并使用 SSLLabs 进行了测试,但 3DES 不在列表中。也许您可以联系支持人员,看看为什么它在您的实例上仍然可用,以及何时将其删除?
  • 您可以向您的扫描提供商提交 TLS 例外情况,并表明您计划在 PCI 要求时禁用它(直到 2018 年)。这样做后,您将通过扫描。
  • 我相信 Web Apps > Security Settings 下现在有一个选项。这是顶部的“最低 TLS 版本”,您可以在其中启用/禁用适当的版本。
猜你喜欢
  • 1970-01-01
  • 2013-10-13
  • 2017-12-10
  • 1970-01-01
  • 2020-06-10
  • 2015-10-19
  • 2017-05-26
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多