Azure interrompe il supporto per TLS 1.0 e 1.1: Cosa significa e come prepararsi

Microsoft come annunciato terminerà su Azure il supporto per i protocolli TLS (Transport Layer Security) 1.0 e 1.1. Questa decisione è parte di un'iniziativa volta a migliorare la sicurezza della piattaforma cloud e promuovere l'adozione di versioni più moderne del protocollo, come TLS 1.2 e 1.3, che offrono un livello di protezione significativamente superiore. In questo articolo, esploreremo cosa significa questa modifica, perché è importante e cosa fare per assicurarsi che i propri servizi Azure continuino a funzionare correttamente.

Michele Ariis

10/10/20244 min read

Perché il supporto per TLS 1.0 e 1.1 viene interrotto?

TLS 1.0 è stato introdotto nel 1999, seguito da TLS 1.1 nel 2006. Sebbene questi protocolli siano stati fondamentali per proteggere le comunicazioni su Internet, presentano alcune vulnerabilità di sicurezza che li rendono meno affidabili rispetto alle versioni più recenti. Problemi come il rischio di attacchi man-in-the-middle (MITM) e altre debolezze crittografiche hanno spinto i principali fornitori di servizi, tra cui Microsoft, a promuovere il passaggio a protocolli più sicuri.

TLS 1.2, rilasciato nel 2008, è ora considerato il minimo standard di sicurezza, mentre TLS 1.3, lanciato nel 2018, offre miglioramenti significativi in termini di velocità e sicurezza. La dismissione di TLS 1.0 e 1.1 su Azure mira a garantire che tutti i servizi cloud utilizzino protocolli moderni e sicuri.

Impatti sulla tua infrastruttura

La rimozione del supporto per TLS 1.0 e 1.1 potrebbe influire sui servizi e sulle applicazioni ospitate su Azure, specialmente se utilizzano vecchie librerie di crittografia o client legacy che non supportano TLS 1.2 o versioni successive. Alcuni dei potenziali impatti includono:

  • Interruzione della connessione: Le applicazioni che dipendono da TLS 1.0 o 1.1 per le connessioni HTTPS o altre comunicazioni crittografate non saranno in grado di stabilire connessioni sicure.

  • Servizi legacy: Alcuni dispositivi o applicazioni più vecchie, come software legacy, dispositivi IoT meno recenti o sistemi operativi obsoleti, potrebbero non supportare i protocolli TLS moderni.

  • Servizi di terze parti: Se le integrazioni con servizi esterni richiedono l'uso di TLS 1.0 o 1.1, tali integrazioni potrebbero smettere di funzionare.

Come prepararsi per la transizione

Per garantire la continuità operativa e la sicurezza dei servizi, ecco alcuni passaggi da seguire:

  1. Identificare i sistemi e i servizi che utilizzano TLS 1.0 e 1.1: È importante eseguire un'analisi dell'infrastruttura per individuare i servizi che ancora utilizzano i protocolli obsoleti. Puoi utilizzare strumenti come Azure Security Center o script di PowerShell per eseguire la scansione delle configurazioni dei tuoi servizi.

  2. Aggiornare i client e le librerie: Assicurati che le applicazioni utilizzino librerie di crittografia aggiornate che supportino TLS 1.2 o 1.3. Questo può includere l'aggiornamento di sistemi operativi, framework di sviluppo o software di terze parti.

  3. Configurare correttamente le opzioni TLS su Azure: Nei servizi Azure, come App Service, SQL Database e Azure Storage, è possibile configurare le impostazioni TLS per forzare l'uso di TLS 1.2 o superiore.

  4. Testare le modifiche: Prima della data di rimozione definitiva del supporto, esegui test approfonditi per assicurarti che tutte le applicazioni funzionino correttamente con TLS 1.2 o versioni successive. In questo modo, eventuali problemi possono essere risolti per tempo.

Script e query utili per la migrazione

Microsoft ha messo a disposizione alcuni script di PowerShell e query che possono aiutare a rilevare l'utilizzo di TLS 1.0 e 1.1 nei tuoi servizi Azure. Ad esempio, puoi utilizzare Azure Resource Graph per eseguire query sulle configurazioni TLS attive nei tuoi servizi. Questi strumenti facilitano il processo di migrazione, fornendo visibilità sui sistemi che necessitano di aggiornamenti.

Azure Resource Graph

Diritti minimi richiesti:

  1. Lettura (Reader): Per eseguire query su Azure Resource Graph, è sufficiente avere il ruolo di Reader o qualsiasi altro ruolo che include il permesso di lettura su Azure. Questo ti permette di visualizzare le risorse senza poterle modificare.Il ruolo di Reader consente di visualizzare tutte le risorse all'interno di un ambito specifico (es. sottoscrizione, gruppo di risorse).

  2. Contributor o Owner: Questi ruoli offrono un livello di accesso superiore e consentono anche di creare, modificare e gestire le risorse. Sebbene non siano strettamente necessari per utilizzare Azure Resource Graph Explorer per le sole query, sono utili se vuoi apportare modifiche alle risorse.

Andiamo sul nostro ambiente Azure da https://portal.azure.com/ e cerchiamo Resource Graph Explorer

Entriamo nella risorsa e inseriamo la query copiandola dal file txt che potete trovare nel link sotto:

Query-TLS

Una volta inserita eseguiamo cliccando su Run query

Una volta finito il processo, sotto vedremo il risultato con i vari dettagli sulle risorse e la versione TLS così da poter intervenire puntualmente.

Volendo, cliccando su Download as CSV, verrà generato un file dettagliato così da poterlo lavorare offline

Conclusione

La fine del supporto per TLS 1.0 e 1.1 su Azure rappresenta un passo importante verso una maggiore sicurezza nel cloud. Adottare protocolli di crittografia più moderni come TLS 1.2 e 1.3 non solo protegge meglio le comunicazioni, ma garantisce anche la conformità agli standard di sicurezza attuali. Prepararsi adeguatamente alla transizione ridurrà al minimo i rischi di interruzioni e garantirà che le applicazioni e i servizi continuino a funzionare senza problemi.