Aggiornamento sulla Dismissione di TLS 1.0 e 1.1 per i Servizi Azure

In seguito all’annuncio del 10 novembre 2023, Microsoft ha avviato una transizione graduale verso l’utilizzo esclusivo di TLS 1.2 (o versioni successive) per tutte le connessioni ai servizi Azure. Questa modifica rientra nell’impegno di rafforzare la sicurezza delle comunicazioni, offrendo ai clienti un ambiente cloud più protetto.

Tempistica di Transizione

Per minimizzare i disagi, alcuni servizi continueranno a supportare TLS 1.0 e TLS 1.1 fino al 31 agosto 2025. Durante questo periodo, la lista dei servizi in transizione verrà aggiornata regolarmente per informare i clienti sullo stato di completamento del passaggio a TLS 1.2 o versioni successive. Di seguito l’elenco completo dei servizi coinvolti, fonte la pagina ufficiale di Microsoft:

Azure OfferingTLS documentation and latest updates
API Managementhttps://learn.microsoft.com/azure/api-management/api-management-howto-manage-protocols-ciphers 
App Servicehttps://learn.microsoft.com/azure/app-service/overview-tls  
Application Gatewayhttps://learn.microsoft.com/azure/application-gateway/application-gateway-ssl-policy-overview https://learn.microsoft.com/azure/application-gateway/application-gateway-configure-ssl-policy-power… 
Azure App Service Static Web Appshttps://learn.microsoft.com/azure/app-service/overview-tls
Azure Archttps://learn.microsoft.com/azure/azure-arc/servers/network-requirements?tabs=azure-cloud 
Azure Cosmos DBhttps://learn.microsoft.com/en-us/azure/cosmos-db/self-serve-minimum-tls-enforcement
Azure Database for MariaDBhttps://docs.microsoft.com/azure/mariadb/concepts-ssl-connection-security#tls-enforcement-in-azure-d…https://docs.microsoft.com/azure/azure-sql/database/connectivity-settings#minimal-tls-version
Azure Database for MySQLhttps://learn.microsoft.com/previous-versions/azure/mysql/single-server/concepts-ssl-connection-secu… 
https://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Azure Database for PostgreSQLhttps://learn.microsoft.com/previous-versions/azure/postgresql/single-server/concepts-ssl-connection… 
Azure Database Migration Servicehttps://learn.microsoft.com/azure/dms/faq#is-all-data-in-transit-and-at-rest-encrypted-
Azure Front Door / Azure Front Door Xhttps://learn.microsoft.com/azure/frontdoor/end-to-end-tls?pivots=front-door-standard-premium
Azure SQL Databasehttps://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Azure SQL Database Edgehttps://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Azure SQL Managed Instancehttps://learn.microsoft.com/azure/azure-sql/managed-instance/minimal-tls-version-configure?view=azur…
Azure Synapse Analyticshttps://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Azure Web Application Firewallhttps://learn.microsoft.com/azure/application-gateway/application-gateway-ssl-policy-overview 
https://learn.microsoft.com/azure/application-gateway/application-gateway-configure-ssl-policy-power… 
https://learn.microsoft.com/azure/frontdoor/front-door-faq 
Cloud Serviceshttps://learn.microsoft.com/azure/cloud-services/applications-dont-support-tls-1-2 
Event Gridhttps://azure.microsoft.com/updates/v2/TLS-changes-for-Azure-Event-Grid 
Event Hubshttps://learn.microsoft.com/azure/event-hubs/transport-layer-security-enforce-minimum-version  
Functionshttps://learn.microsoft.com/azure/app-service/overview-tls  
IoT Hubhttps://learn.microsoft.com/azure/iot-hub/iot-hub-tls-support 
Key Vaulthttps://learn.microsoft.com/azure/key-vault/general/security-features#tls-and-https 
Microsoft Azure Managed Instance for Apache Cassandrahttps://learn.microsoft.com/azure/cosmos-db/self-serve-minimum-tls-enforcement 
Service Bushttps://learn.microsoft.com/azure/service-bus-messaging/transport-layer-security-configure-minimum-v… 
SQL Server Stretch Databasehttps://learn.microsoft.com/azure/azure-sql/database/connectivity-settings?view=azuresql&tabs=azure-… 
Storagehttps://techcommunity.microsoft.com/t5/azure-storage-blog/tls-1-0-and-1-1-support-will-be-removed-fo…https://learn.microsoft.com/azure/storage/common/transport-layer-security-configure-migrate-to-tls2 
VPN Gatewayhttps://learn.microsoft.com/azure/vpn-gateway/ikev2-openvpn-from-sstp https://learn.microsoft.com/azure/application-gateway/application-gateway-ssl-policy-overview 
Lista servizi rimanenti a TLS 1.0 e TLS 1.1 

Perché è Importante il Passaggio a TLS 1.2

Sebbene l’implementazione di TLS 1.0 e 1.1 di Microsoft non presenti vulnerabilità note, TLS 1.2 e versioni successive offrono protezioni avanzate, inclusa la Perfect Forward Secrecy e suite crittografiche più robuste, migliorando la sicurezza e la resilienza delle comunicazioni.

Azioni da Intraprendere per Evitare Interruzioni

Per garantire la continuità del servizio e la sicurezza dei workload, è essenziale verificare che tutte le risorse che interagiscono con i servizi Azure utilizzino TLS 1.2 o versioni successive. Ecco come procedere:

  1. Verifica dello Stato delle Risorse
    Conferma che le risorse attualmente utilizzino solo TLS 1.2 o versioni successive.
  2. Azione in Base alla Verifica:
    • Se usano già TLS 1.2 o successivi, non è richiesta nessuna ulteriore azione.
    • Se dipendono ancora da TLS 1.0 o 1.1, pianifica e implementa la transizione a TLS 1.2 o versioni successive.

Il passaggio a TLS 1.2 è fondamentale per evitare potenziali interruzioni del servizio e per assicurarsi che i propri sistemi restino allineati agli standard di sicurezza più avanzati.

Microsoft Security Defaults

Le Microsoft Security Default non sono altro che impostazioni di sicurezza preconfigurate ovvero sono un insieme di meccanismi di sicurezza dell’identità di base consigliati da Microsoft per Azure AD che se abilitate verranno applicate all’organizzazione consentendo di proteggere amministratori e utenti da attacchi comuni relativi alle identità.

Cosa molto utile specialmente per le piccole organizzazioni e sono:

  • MFA (Autenticazione a più fattori) per tutti.
  • MFA per gli amministratori.
  • Bloccando i protocolli di autenticazione legacy.
  • Richiedere agli utenti di eseguire l’autenticazione a più fattori quando necessario.
  • Proteggendo attività con privilegi come l’accesso al portale di Azure.