问题描述
我们的安全团队报告了在我们的应用程序中使用弱密码的情况,如下所示,我希望将其删除,感谢您提供的任何帮助或指导:
解决方法
目前,有3种可能的方法可以删除弱密码:
-
应用程序服务环境-这使您可以通过Azure资源管理器-Change TLS Cipher Suite Order来设置自己的密码。我对此进行了复制,发现可以通过修改clusterSettings来设置自己的密码或更改密码套件的顺序,如下所示:
-
使用Azure FrontDoor –您可以通过Azure门户在自定义域HTTPS设置中的Azure Front Door中配置最低TLS版本。配置TLS1.2后,仅支持以下强密码套件:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
您可以在此处找到更多信息-Front Door TLS Configuration。
-
使用应用程序网关–这使您可以指定适合组织安全要求并有助于满足合规性要求的中央TLS策略。 TLS策略包括对TLS协议版本以及密码套件的控制以及在TLS握手期间使用密码的顺序,如此处Application Gateway SSL Policy Overview所示。