Fatal编程技术网
  • azure/
  • Azure应用程序服务(Web应用程序)PCI合规性

Azure应用程序服务(Web应用程序)PCI合规性

azure

Azure应用程序服务(Web应用程序)PCI合规性,azure,pci-compliance,Azure,Pci Compliance,很难找到有关Azure应用程序服务(Web应用程序)和PCI合规性的最终答案。PCI标准3.1要求禁用TLS 1.0以及块大小为64位的分组密码算法,如DES和3DES。显然,Azure Web应用程序符合PCI标准3.0,但不符合3.1。微软是否有任何官方立场表明他们何时将达到更新的标准(3.1)?对于Web应用程序服务?我被告知,我可以使用应用程序服务环境,以便能够禁用TLS 1.0和过时的密码,但这(当然)是一项高级服务,而且成本更高。由于上述问题,我们在Azure中托管的客户端站点未能通

很难找到有关Azure应用程序服务(Web应用程序)和PCI合规性的最终答案。PCI标准3.1要求禁用TLS 1.0以及块大小为64位的分组密码算法,如DES和3DES。显然,Azure Web应用程序符合PCI标准3.0,但不符合3.1。微软是否有任何官方立场表明他们何时将达到更新的标准(3.1)?对于Web应用程序服务?我被告知,我可以使用应用程序服务环境,以便能够禁用TLS 1.0和过时的密码,但这(当然)是一项高级服务,而且成本更高。由于上述问题,我们在Azure中托管的客户端站点未能通过PCI合规性扫描。是将客户端站点移动到应用程序服务环境的唯一解决方案吗

从2018年4月30日开始,您将能够管理您的应用程序服务将接受的TLS版本

我找不到链接的来源,但我确实收到了一封电子邮件,其中包括以下内容:

到2018年4月30日:

  • 通过Azure门户和Azure资源管理器模板,您将能够选择所需的最低TLS版本(1.1或1.2) 对于你的应用程序

  • 我们将配置应用程序服务应用程序,使其只需要较新的TLS版本(1.1和1.2)-比要求的日期早两个月

2018年6月30日后:

  • 所有新创建的应用程序服务应用程序将自动配置为需要TLS 1.2。您仍将保留配置的选项 如有必要,请为您的应用提供早期TLS版本,以确保兼容性 使用较旧的浏览器客户端
关于您关于从密码套件中删除DES和3DES的问题,计划于2017年3月()进行,我的测试表明它已被删除(至少从美国东部创建的新web应用中删除)。

从2018年4月30日开始,您将能够管理您的应用服务将接受的TLS版本

我找不到链接的来源,但我确实收到了一封电子邮件,其中包括以下内容:

到2018年4月30日:

  • 通过Azure门户和Azure资源管理器模板,您将能够选择所需的最低TLS版本(1.1或1.2) 对于你的应用程序

  • 我们将配置应用程序服务应用程序,使其只需要较新的TLS版本(1.1和1.2)-比要求的日期早两个月

2018年6月30日后:

  • 所有新创建的应用程序服务应用程序将自动配置为需要TLS 1.2。您仍将保留配置的选项 如有必要,请为您的应用提供早期TLS版本,以确保兼容性 使用较旧的浏览器客户端
关于您提出的关于从密码套件中删除DES和3DES的问题,计划在2017年3月()进行,我的测试表明它已被删除(至少从美国东部创建的一个新web应用程序中删除)。

是的……。我看到了那篇文章。所以,如果我想让我的客户端站点通过PCI合规性扫描,那么我唯一的选择就是将它们移动到应用程序服务环境中,对吗?我必须说,这有点令人沮丧!微软声称他们的Web应用平台符合PCI标准,但事实并非如此(至少就最新标准而言)。如果我想通过当前的标准,我将被迫为应用程序服务环境支付额外费用。我认为这是让PCI合规性“开箱即用”的唯一选择,但我在回答中添加了一点C代码,应该在应用层禁用TLS1.0和SSL3,如果这是PCI 3.0和PCI 3.1之间的唯一区别的话,这可能会有所帮助。奇怪的是,我似乎忘记了那是哪一年。是的,根据这个网站,3DES应该已经被禁用了。我刚刚创建了一个新的web应用程序,并用SSLLAB进行了测试,3DES不在列表中。也许您可以联系支持部门,了解为什么它在您的实例上仍然可用,以及何时将其删除?您可以向您的TLS扫描提供商提交一个例外情况,并表明您计划在PCI要求的时间(直到2018年)之前将其禁用。这样做后,您将通过扫描。我相信现在在“Web应用>安全设置”下有一个选项。顶部是“最低TLS版本”,您可以在其中启用/禁用相应的版本。是的……。我看过那篇文章。所以,如果我想让我的客户端站点通过PCI合规性扫描,那么我唯一的选择就是将它们移动到应用程序服务环境中,对吗?我必须说,这有点令人沮丧!微软声称他们的Web应用平台符合PCI标准,但事实并非如此(至少就最新标准而言)。如果我想通过当前的标准,我将被迫为应用程序服务环境支付额外费用。我认为这是让PCI合规性“开箱即用”的唯一选择,但我在回答中添加了一点C代码,应该在应用层禁用TLS1.0和SSL3,如果这是PCI 3.0和PCI 3.1之间的唯一区别的话,这可能会有所帮助。奇怪的是,我似乎忘记了那是哪一年。是的,根据这个网站,3DES应该已经被禁用了。我刚刚创建了一个新的web应用程序,并用SSLLAB进行了测试,3DES不在列表中。也许您可以联系支持部门,了解为什么它在您的实例上仍然可用,以及何时将其删除?您可以向您的TLS扫描提供商提交一个例外情况,并表明您计划在PCI要求的时间(直到2018年)之前将其禁用。这样做后,您将通过扫描。我相信现在在“Web应用>安全设置”下有一个选项。顶部是一个“最低TLS版本”,您可以在其中启用/禁用相应的版本。我投票将此问题作为离题问题结束,因为这是一个合规性问题,而不是编程问题。您可以找到所有合规性C