[新产品/新功能] Azure Application Gateway 正式发布后端 TLS 验证控制功能

**发布时间:** 2025-09-15 **厂商:** Azure **类型:** Updates --- <!-- AI_TASK_START: AI标题翻译 --> [新产品/新功能] Azure Application Gateway 正式发布后端 TLS 验证控制功能 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 产品功能分析 ## 新功能/新产品概述 Azure Application Gateway V2 正式发布一项新功能，允许客户对后端服务器的 **TLS** 验证过程进行自定义控制。该功能的核心是为 Application Gateway 的后端设置（Backend Settings）中的 **HTTPS** 协议提供更精细的配置选项。 在默认情况下，Application Gateway 作为反向代理，在与后端服务器建立 **TLS** 连接前会执行严格的验证，包括证书链、有效期和主机名等。此次更新引入了两个关键的可配置开关，允许用户选择性地禁用部分验证，从而增强了在不同基础设施环境下的灵活性。 - **核心功能：** - 启用或禁用 **证书链和有效期验证 (Certificate chain and expiry verification)** - 启用或禁用 **SNI 验证 (SNI verification)** - **技术原理：** 该功能通过在 Application Gateway 的数据平面代理中引入条件逻辑实现。当代理与后端服务器发起 **TLS** 握手时，它会根据用户在控制平面配置的策略，跳过特定的验证步骤。例如，禁用证书链验证意味着代理将不再检查后端证书是否由受信任的 **证书颁发机构 (CA)** 签署。 - **目标用户与市场定位：** 此功能主要面向拥有复杂或混合云环境的企业客户，特别是那些在开发/测试阶段、或在内部网络中使用自签名证书、以及处理遗留系统集成的场景。它提升了 Azure Application Gateway 在非标准化环境中的兼容性和易用性。 ## 关键客户价值 - **提升部署灵活性与环境兼容性** - 在开发、测试或迁移过程中，后端服务常使用自签名证书或内部 CA 颁发的证书。通过禁用证书链验证，客户可以快速将这些服务集成到 Application Gateway 之后，无需为内部服务购买和管理公共 CA 证书，从而加速项目交付周期。 - **差异化优势：** 与其他云厂商的负载均衡器相比（如 AWS Application Load Balancer），Azure 提供了对 **TLS** 验证步骤（如证书链和 **SNI**）的独立、显式控制开关。这种粒度级别的控制对于需要满足特定合规性要求或兼容遗留系统的企业具有显著优势，使其能够平滑过渡，而非强制进行后端改造。 - **简化开发与测试流程** - 开发者可以在其本地或开发环境中快速搭建后端服务，并使用自签名证书进行端到端的加密通信测试。这避免了在早期开发阶段就介入复杂的证书管理流程，降低了环境配置的复杂度和时间成本。 - **支持复杂的路由和多租户场景** - 在某些高级路由场景中，Application Gateway 需要使用一个内部主机名或 IP 地址连接后端，而该地址可能与客户端请求的公共主机名不符。禁用 **SNI** 验证可以解决因此导致的 **TLS** 握手失败问题，确保即使在主机名不匹配的情况下，只要证书本身有效，连接依然能够成功建立。 ## 关键技术洞察 - **基于策略的 TLS 握手协商** - 该功能的技术核心在于将 **TLS** 协议栈中的验证逻辑参数化，并将其作为一项可配置策略暴露给用户。Application Gateway 的代理引擎（如 **Envoy** 或自研代理）在执行上游连接的 **TLS** 握手时，会动态加载这些策略，并选择性地执行或跳过 `X.509` 证书的验证步骤。 - **安全与灵活性的权衡** - 禁用 **TLS** 验证会带来潜在的安全风险。例如，禁用证书链验证使网关无法确认后端服务器的真实身份，可能导致中间人攻击（Man-in-the-Middle, MitM）。因此，此功能应谨慎使用，其理想应用场景是完全受控的私有网络环境（如 Azure VNet 内部），其中网络层已提供足够的安全隔离。 - **SNI 验证的特定用途** - **SNI (Server Name Indication)** 是 **TLS** 的一个关键扩展，允许多个 HTTPS 站点共享同一个 IP 地址。禁用 **SNI** 验证主要用于解决特定场景下的主机名不匹配问题，而非通用的安全策略调整。它体现了 Azure 对处理复杂网络拓扑和应用架构的深入理解。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # 正式发布：Azure Application Gateway 中的后端 TLS 验证控制 **发布时间:** 2025-09-15 **厂商:** Azure **类型:** 更新 --- Azure Application Gateway V2 宣布正式发布客户可控的后端 TLS 验证功能。当在 Azure Application Gateway 的后端设置 (Backend Settings) 中选择 HTTPS 协议时，默认情况下，它会在与后端服务器成功建立连接之前，在 TLS 握手 (TLS handshake) 过程中执行所有验证。现在，Azure Application Gateway 支持以下可配置选项，为客户在不同环境中管理后端 TLS 行为提供了更大的灵活性。 - 启用或禁用证书链 (Certificate chain) 和过期验证 - 启用或禁用 SNI (Server Name Indication) 验证 借助这些新设置，客户可以自定义 TLS 验证，以满足其基础设施需求。 [了解更多](https://learn.microsoft.com/en-us/azure/application-gateway/configuration-http-settings?tabs=backendhttpsettings#backend-https-validation-settings) 。 <!-- AI_TASK_END: AI全文翻译 -->