適用対象: すべての API Management レベル
Azure API Management では、次の API トラフィックをセキュリティで保護するために複数バージョンのトランスポート層セキュリティ (TLS) プロトコルがサポートされています。
- クライアント側 (クライアントからAPI管理ゲートウェイへの接続)
- バックエンド側 (API管理ゲートウェイからバックエンドへ)
API Management では、API ゲートウェイで使用される複数の暗号スイートもサポートされます。
サービス レベルに応じて、API Management では、クライアントとバックエンドの接続に対して最大 1.2 または TLS 1.3 の TLS バージョンと、サポートされている複数の暗号スイートがサポートされます。 このガイドでは、Azure API Management インスタンスのプロトコルと暗号の構成を管理する方法について説明します。
注意
- セルフホステッド ゲートウェイを使用している場合は、セルフホステッド ゲートウェイのセキュリティに関する記事を参照して、TLS プロトコルと暗号スイートを管理してください。
- 次のレベルでは、既定の暗号構成の変更はサポートされていません: 従量課金、Basic v2、Standard v2、Premium v2。
- ワークスペースでは、マネージド ゲートウェイは既定のプロトコルと暗号構成の変更をサポートしていません。
注意
API Management サービス レベルによっては、変更の適用に 15 分から 45 分以上かかることがあります。 開発者サービス レベルのインスタンスでは、処理中にダウンタイムが発生します。 Basic 以上のレベルのインスタンスでは、処理中にダウンタイムが発生しません。
前提条件
- API Management インスタンス。 まだない場合は、作成してください。
API Management インスタンスに移動します。
Azure portal で、 API Management サービスを検索して選択します。
[API Management サービス] ページで、API Management インスタンスを選択します。
![[API Management サービス] ページの API Management インスタンスを示すスクリーンショット。](../includes/media/api-management-navigate-to-instance/view-apim-new.png)
![[API Management サービス] ページの API Management インスタンスを示すスクリーンショット。](../includes/media/api-management-navigate-to-instance/view-apim-new.png#lightbox)
TLS プロトコルと暗号スイートを管理する方法
- API Management インスタンスの左側のナビゲーションで、[セキュリティ] の下にある [プロトコルと暗号] を選択します。
- プロトコルまたは暗号を有効または無効にします。
- [保存] を選択します。
注意
一部のプロトコルや暗号スイート (バックエンド側 TLS 1.2 など) は、Azure portal からは有効にしたり無効にしたりすることができません。 代わりに、REST API 呼び出しを適用する必要があります。
properties.customProperties REST API に関する記事にある 構造を使用します。
クラシック 層での TLS 1.3 のサポート
TLS 1.3 のサポートは、API Management クラシック サービス レベル (従量課金、 開発者、 Basic、 Standard、 Premium) で利用できます。 これらのサービス レベルで作成されたほとんどのインスタンスでは、TLS 1.3 はクライアント側接続に対して既定で永続的に有効になっています。 バックエンド側 TLS 1.3 の有効化は省略可能です。 TLS 1.2 は、クライアント側とバックエンド側の両方で既定で有効になっています。
TLS 1.3 は、強化されたセキュリティとパフォーマンスを提供する TLS プロトコルの主要なリビジョンです。 これには、ハンドシェイクの待機時間の短縮や、特定の種類の攻撃に対するセキュリティの強化などの機能が含まれています。
注意
API Management およびワークスペース ゲートウェイの v2 層では、クライアント側とバックエンド側の接続に対して TLS 1.2 が既定でサポートされています。 現在、TLS 1.3 はサポートされていません。
必要に応じて、クライアントで証明書の再ネゴシエーションが必要な場合に TLS 1.3 を有効にする
TLS 1.3 では、証明書の再ネゴシエーションはサポートされていません。 TLS での証明書の再ネゴシエーションにより、クライアントとサーバーは、接続を終了することなく、認証のためにセッションの途中で接続パラメーターを再ネゴシエーションできます。
クライアント証明書の再ネゴシエーションに依存していると識別されたサービスでは、既定では TLS 1.3 は有効になっていません。
Warnung
証明書の再ネゴシエーションに依存する TLS 準拠クライアントが API にアクセスしている場合、クライアント側の接続に対して TLS 1.3 を有効にすると、それらのクライアントは接続に失敗します。 既定で有効になっていないサービスでクライアント側 TLS 1.3 を有効にする前に、最近証明書の再ネゴシエーションを使用した API を確認します。
これらのインスタンスでクライアント側接続に対して TLS 1.3 を有効にするには、[ プロトコルと暗号 ] ページで設定を構成します。
- [ プロトコルと暗号 ] ページの [ クライアント プロトコル ] セクションで、 TLS 1.3 の横にある [ 構成の表示と管理] を選択します。
- 最近使用した クライアント証明書の再ネゴシエーションの一覧を確認します。 この一覧には、クライアントが最近クライアント証明書の再ネゴシエーションを使用した API 操作が示されています。
- クライアント側接続に対して TLS 1.3 を有効にする場合は、[ 有効にする] を選択します。
- [ 閉じる] を選択します。
TLS 1.3 を有効にした後、TLS 接続エラーを示すログでゲートウェイ要求メトリックまたは TLS 関連の例外を確認します。 必要に応じて、クライアント側接続で TLS 1.3 を無効にし、TLS 1.2 にダウングレードします。
これらのインスタンスでクライアント側接続に対して TLS 1.3 を無効にする必要がある場合は、[ プロトコルと暗号 ] ページで設定を構成します。
- [ プロトコルと暗号 ] ページの [ クライアント プロトコル ] セクションで、 TLS 1.3 の横にある [ 構成の表示と管理] を選択します。
- [無効] を選択します。
- [ 閉じる] を選択します。
バックエンド側 TLS 1.3
バックエンド側 TLS 1.3 の有効化は省略可能です。 これを有効にすると、API Management はバックエンド サービスへの接続に TLS 1.3 を使用します。
Warnung
バックエンド側の接続に対して TLS 1.3 を有効にすると、API Management とバックエンドの間のクライアント証明書の再ネゴシエーションに依存するバックエンド サービスで接続エラーが発生します。
バックエンド側 TLS 1.3 は、[ プロトコルと暗号 ] ページから有効にすることができます。
- [ プロトコルと暗号 ] ページの [ バックエンド プロトコル ] セクションで、 TLS 1.3 設定を有効にします。
- [保存] を選択します。
関連コンテンツ
- API Management インスタンスのセキュリティ保護に関する推奨事項については、「API Management 用の Azure セキュリティ ベースライン」を参照してください。
- API Management の API Management アーキテクチャのベスト プラクティスのセキュリティに関する考慮事項について説明します。
- TLS の詳細を参照してください。