トランスポート層セキュリティ (TLS) は、ネットワーク経由のセキュリティで保護された通信を提供する暗号プロトコルです。 Azure Cache for Redis では、すべての層で TLS がサポートされており、既定では TLS で暗号化された通信が必要です。 TLS の使用は、ほぼすべての Azure Redis のユース ケースでベスト プラクティスとして推奨されます。
下位互換性のために、TLS なしで Azure Redis を接続するオプションが含まれています。 クライアント ライブラリまたはツールで TLS がサポートされていない場合は、 Azure portal または 管理 API を使用して暗号化されていない接続を有効にすることができます。 この記事では、Azure portal を使用して TLS 以外のアクセスを有効にする方法について説明します。
重要
TLS 1.0 と 1.1 はサポートされなくなりました。 詳細については、「 Azure Cache for Redis での使用から TLS 1.0 と 1.1 を削除する」を参照してください。
可用性のスコープ
| 階層 | Basic、Standard、Premium | Enterprise、Enterprise Flash |
|---|---|---|
| 可用性 | はい (1.2、1.3) | 利用可能 (1.2 および 1.3) |
TLS 1.2 と TLS 1.3 は、すべての Azure Redis レベルで使用できます。
TLS 1.3 のサポート
TLS 1.3 は、すべての Azure Redis レベルでサポートされています。 クライアントによる TLS 1.3 の使用を強制するオプションはありません。 キャッシュ インスタンスに接続するときは、TLS 1.3 をネゴシエートする必要があります。
TLS 1.3 暗号スイートは次のとおりです。
TLS_AES_128_GCM_SHA256TLS_AES_256_GCM_SHA384
注
TLS 1.3 接続では、暗号スイート TLS_CHACHA20_POLY1305_SHA256 はサポートされなくなりました。 代わりに、 TLS_AES_128_GCM_SHA256 または TLS_AES_256_GCM_SHA384 暗号スイートを使用してください。
TLS を有効または無効にする方法
TLS の有効化と無効化は、Azure Redis レベルによって異なります。
Basic、Standard、Premium サービス レベル
既定では、TLS アクセスが有効になり、新しいキャッシュでは TLS 以外のアクセスが無効になります。 非クラスター化キャッシュでは、TLS アクセスにはポート 6380 を使用し、TLS 以外のアクセスにはポート 6379 を使用します。
TLS 以外のポートを有効にするには:
- Azure portal のキャッシュ ページで、左側のナビゲーション メニューの [設定] で [詳細設定] を選択します。
- [詳細設定] ページで、[SSL 経由でのみアクセスを許可する] で [いいえ] を選択します。
- [保存] を選択します。
詳細については、「 アクセス ポート」を参照してください。
クラスター化キャッシュでは、TLS 対応キャッシュは 150XX 範囲のポートを使用し、TLS 以外のキャッシュでは 130XX 範囲のポートを使用します。 詳細については、「キャッシュの個々のシャードに直接接続できますか」を参照してください。
Enterprise レベルと Enterprise Flash レベル
既定では、Enterprise レベルと Enterprise Flash レベルでは TLS アクセスのみが有効になっています。 TLS アクセスを無効にするには:
- Azure portal のキャッシュ ページで、左側のナビゲーション メニューの [設定] で [詳細設定] を選択します。
- [TLS 以外のアクセスのみ] で [有効] を選択します。
- [保存] を選択します。
Enterprise および Enterprise Flash レベルのキャッシュは、TLS 接続と TLS 以外の接続の両方にポート 10000 を使用します。 OSS クラスター ポリシーを使用する場合、TLS の状態に関係なく、 85XX 範囲内のポートを使用して、より多くの接続が確立されます。 詳細については、「キャッシュの個々のシャードに直接接続できますか」を参照してください。