[新产品/新功能] Azure Application Gateway mTLS 直通功能正式发布

**发布时间:** 2025-11-18 **厂商:** Azure **类型:** Updates --- <!-- AI_TASK_START: AI标题翻译 --> [新产品/新功能] Azure Application Gateway mTLS 直通功能正式发布 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 产品功能分析 ## 新功能/新产品概述 Azure Application Gateway 正式发布 **mTLS** **透传模式** (**Passthrough mode**)，这是一项针对其 L7 负载均衡服务的关键增强。该功能旨在解决一个核心痛点：此前，网关在 **严格模式** (**Strict mode**) 下运行时，会强制要求所有客户端连接都必须提供有效的 **客户端证书**，这导致仅使用令牌（如 JWT）进行身份验证的流量无法通过网关到达后端。 新功能允许网关将 **客户端证书** 的验证责任下沉到后端应用。在 **透传模式** 下，即使客户端没有提供证书，其请求也能通过 Application Gateway，并接受 **Web 应用防火墙 (WAF)** 的安全检查。网关会将收到的客户端证书（如果存在）原样转发给后端服务。 - **目标用户群**：需要统一入口网关，同时后端服务采用混合认证机制（部分客户端使用 mTLS，部分使用 Token）的企业开发者和架构师。 - **市场定位**：强化 Application Gateway 作为企业级应用交付控制器的能力，特别是在零信任安全架构中，它既能提供集中的安全防护（WAF），又能为后端微服务提供灵活的、细粒度的认证控制。 ## 关键客户价值 - **实现混合认证架构的灵活性** - 业务价值：企业无需为不同认证方式的客户端部署独立的网关，可以在同一个 Application Gateway 实例后方统一管理使用 mTLS 的 IoT/B2B 客户端和使用 Token 的 Web/移动客户端。这极大地简化了基础设施拓扑，降低了运维复杂性和成本。 - 差异化优势：与要求在网关层统一处理所有认证的解决方案不同，Azure 的透传模式将认证决策权交还给最了解业务逻辑的后端应用。这种解耦设计使得应用架构演进更加敏捷，能够快速适应新的认证需求。 - **解耦流量安全检查与身份认证** - 业务价值：安全团队可以在网关层对所有流量（无论是否携带客户端证书）强制执行统一的 **WAF** 策略，确保在身份认证前就拦截掉常见的网络攻击（如 SQL 注入、跨站脚本等）。这构建了一道前置安全防线，提升了整体应用的安全水位。 - 实现机制：Application Gateway 首先终止 TLS 连接并对应用层数据包进行深度检查，然后才将流量转发至后端。透传模式确保了即使在 mTLS 认证可选的情况下，WAF 检查流程也绝不会被绕过。 - **赋予后端服务最终认证授权能力** - 业务价值：后端应用可以获得完整的客户端证书信息，并基于证书内的自定义字段（如序列号、组织单位等）实现复杂的、与业务逻辑紧密集成的授权策略。这对于需要精细化访问控制的金融、政府等高安全等级行业至关重要。 - 实现机制：网关将客户端证书信息通过 HTTP Header 等方式安全地传递给后端。后端服务可以独立执行证书链验证、吊销状态检查（CRL/OCSP），并结合自身业务逻辑做出最终的准入判断。 ## 关键技术洞察 - **核心机制是分离 TLS 握手与证书验证逻辑** - _工作原理的转变_：在传统的 **严格模式** 下，Application Gateway 在 **TLS** **握手** 阶段就完成了对客户端证书的强制校验，校验失败则连接直接中断。而在 **透传模式** 下，网关依然作为 TLS 的终结点以解密流量并执行 WAF 检查，但它将客户端证书视为一个“可选”的载荷。它不再强制校验证书的有效性，而是将其作为数据转发给后端，由后端应用决定如何处理。 - **提升了应用网关在零信任架构中的适配性** - 技术影响：此功能使 Application Gateway 从一个纯粹的策略执行点（Policy Enforcement Point）转变为一个兼具策略执行和流量转发双重角色的组件。它遵循了零信任架构中“永不信任，始终验证”的核心原则，将最终的身份验证决策推迟到离受保护资源最近的后端应用层，从而实现更精准的访问控制。 - **依赖安全的后端通信链路** - 实现挑战：为确保从网关传递到后端的客户端证书信息不被篡改，网关与后端服务之间的通信链路必须强制使用 TLS 加密。这保证了整个认证链条的端到端安全性。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # 正式发布：Azure Application Gateway 支持 mTLS 透传 **发布时间:** 2025-11-18 **厂商:** Azure **类型:** 更新 --- 我们宣布 Azure Application Gateway 推出一项新的 双向 TLS (mTLS) 增强功能。该功能适用于需要在后端执行客户端证书和授权标头验证，同时仍需通过 Web 应用程序防火墙 (WAF) 进行 Web 流量检测的后端应用程序。此更新引入了更大的灵活性，允许这类应用程序即使在未提供客户端证书的情况下，也能通过 Application Gateway 接收和检测流量，从而支持同时包含 mTLS 和基于令牌访问的混合身份验证场景。 #### 变更内容 此前，Application Gateway 侦听器以严格模式 (Strict mode) 运行，会阻止任何没有有效客户端证书的连接。这意味着仅依赖授权令牌的流量无法到达后端。 通过此次更新，您现在可以为 双向 TLS (mTLS) 连接启用透传模式 (Passthrough mode)，该模式允许： - 没有客户端证书的请求也能通过 WAF 进行检测。 - 后端应用程序可以保留对证书和令牌验证逻辑的完全控制权。 [了解更多](https://learn.microsoft.com/en-us/azure/application-gateway/mutual-authentication-overview?tabs=powershell#mutual-authentication) 。 <!-- AI_TASK_END: AI全文翻译 -->