Laboratório Técnico: Configure Transport Layer Security (TLS)

Questões

Questão 1 — Múltipla Escolha

Uma equipe de arquitetura precisa publicar uma API REST interna que exige terminação TLS no gateway, com capacidade de inspecionar e modificar os cabeçalhos HTTP antes de encaminhar o tráfego ao backend. O backend opera em HTTP simples dentro da rede virtual.

Qual combinação de configuração no Azure Application Gateway atende a esse requisito?

A) Listener HTTPS na porta 443 com certificado SSL no gateway, e configuração de backend HTTP sem certificado de autenticação.

B) Listener HTTPS na porta 443 com certificado SSL no gateway, e configuração de backend HTTPS com certificado de autenticação obrigatório.

C) Listener HTTP na porta 80 com redirecionamento para HTTPS, e backend HTTPS com TLS de ponta a ponta.

D) Listener HTTPS na porta 443 sem certificado no gateway, delegando a negociação TLS diretamente ao backend via túnel TCP.

Questão 2 — Cenário Técnico

Um engenheiro configurou o Azure Front Door para distribuir tráfego a dois backends regionais. Após a implantação, usuários relatam que conexões HTTPS funcionam, mas o certificado apresentado ao cliente é autoassinado e o navegador exibe aviso de segurança.

A configuração relevante do origin group está abaixo:

{
  "httpsSettings": {
    "certificateNameCheck": "Disabled",
    "minimumTlsVersion": "TLS10"
  },
  "customDomain": {
    "tlsSettings": {
      "certificateType": "CustomerCertificate",
      "minimumTlsVersion": "TLS12"
    }
  }
}

Qual é a causa mais provável do aviso exibido no navegador?

A) O minimumTlsVersion do origin está definido como TLS10, o que força o Front Door a rebaixar o protocolo na conexão com o cliente.

B) O certificateType está definido como CustomerCertificate, mas nenhum certificado válido emitido por CA pública foi provisionado no domínio personalizado.

C) O certificateNameCheck desabilitado no origin faz com que o certificado do backend seja apresentado diretamente ao cliente sem substituição.

D) A versão mínima TLS do custom domain está em TLS12, o que impede que clientes com TLS 1.3 se conectem corretamente.

Questão 3 — Verdadeiro ou Falso

Afirmação: No Azure Application Gateway, quando configurado com TLS de ponta a ponta, o certificado instalado no pool de backend deve obrigatoriamente ser emitido por uma autoridade certificadora pública reconhecida; certificados autoassinados não são suportados nesse cenário.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma organização utiliza o Azure API Management (APIM) na camada Premium com integração a uma rede virtual em modo interno. O time de segurança exige que apenas clientes que apresentem um certificado de cliente válido consigam invocar as APIs expostas. A política abaixo foi aplicada na camada inbound de uma API específica:

<policies>
  <inbound>
    <choose>
      <when condition="@(context.Request.Certificate == null)">
        <return-response>
          <set-status code="401" reason="Unauthorized" />
        </return-response>
      </when>
    </choose>
  </inbound>
</policies>

Após a implantação, o time de testes constata que requisições sem certificado de cliente estão sendo aceitas com status 200. Qual é a causa mais provável?

A) A política choose não é suportada na camada inbound do APIM; ela deve ser aplicada na camada backend.

B) A negociação de certificado de cliente não está habilitada no gateway do APIM, portanto context.Request.Certificate é sempre null e a condição nunca é satisfeita da forma esperada.

C) A opção Negotiate client certificate não está habilitada no APIM, fazendo com que context.Request.Certificate nunca seja null, mesmo em requisições sem certificado.

D) O modo de rede virtual interno bloqueia a inspeção de certificados de cliente, exigindo que a validação seja feita por um Azure Application Gateway posicionado na frente do APIM.

Questão 5 — Múltipla Escolha

Ao configurar uma política de SSL personalizada no Azure Application Gateway, um engenheiro precisa garantir que apenas TLS 1.2 e TLS 1.3 sejam aceitos, desabilitando versões anteriores. Ele também precisa restringir os cipher suites para remover algoritmos com chaves RSA menores que 2048 bits.

Qual afirmação descreve corretamente o comportamento esperado após essa configuração?

A) O Application Gateway aceitará TLS 1.0 como fallback automático se o cliente não suportar TLS 1.2, independentemente da política definida.

B) A política SSL personalizada se aplica apenas à conexão entre o cliente e o gateway; a conexão entre o gateway e o backend é governada pela configuração HTTP do backend, não pela política SSL.

C) A política SSL personalizada controla tanto a conexão de entrada (cliente para gateway) quanto a conexão de saída (gateway para backend) com as mesmas restrições de cipher suite.

D) Desabilitar TLS 1.0 e 1.1 na política SSL do Application Gateway também desabilita automaticamente esses protocolos nas instâncias de backend associadas ao mesmo gateway.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: A

O cenário descreve terminação TLS (ou SSL offloading), não TLS de ponta a ponta. Nesse modelo, o Application Gateway encerra a sessão TLS com o cliente usando seu próprio certificado, processa o conteúdo HTTP em texto claro e encaminha ao backend via HTTP simples. A alternativa A descreve exatamente isso: listener HTTPS com certificado no gateway e backend configurado em HTTP sem exigência de certificado.

A alternativa B descreve TLS de ponta a ponta, onde o backend também precisa apresentar certificado. A alternativa C adiciona uma etapa de redirecionamento e mantém TLS no backend, não atendendo ao requisito de backend HTTP. A alternativa D é tecnicamente inválida: o Application Gateway não opera como proxy transparente de TCP para TLS; ele precisa do certificado para negociar a sessão com o cliente.

Gabarito — Questão 2

Resposta: B

O aviso no navegador indica que o certificado apresentado ao cliente não é confiável. No Azure Front Door, quando o certificateType é CustomerCertificate, é responsabilidade do operador provisionar um certificado válido e emitido por uma CA pública no Key Vault associado. Se o certificado não foi corretamente provisionado ou está autoassinado, o Front Door apresentará esse certificado inválido aos clientes.

A alternativa A é um equívoco comum: o minimumTlsVersion do origin governa a conexão entre o Front Door e o backend, não entre o Front Door e o cliente. A alternativa C confunde o comportamento do certificateNameCheck no origin, que controla a validação do certificado do backend pelo Front Door, não o que é apresentado ao cliente. A alternativa D inverte a lógica: TLS 1.2 como versão mínima é mais restritivo, não impede TLS 1.3, e não causa aviso de certificado.

Gabarito — Questão 3

Resposta: Falso

No Application Gateway com TLS de ponta a ponta, certificados autoassinados são suportados nos backends. O que o gateway exige, nesse caso, é que a chave pública (ou o certificado raiz, dependendo do SKU) do certificado do backend seja adicionada à configuração HTTP do backend como certificado de autenticação (SKU Standard/WAF) ou certificado raiz confiável (SKU v2). Isso permite que o gateway valide o backend mesmo com certificados autoassinados, sem exigir emissão por CA pública. Exigir CA pública para backends seria impraticável em ambientes internos onde certificados privados são a norma.

Gabarito — Questão 4

Resposta: C

Este é um erro sutil de lógica. Quando a opção Negotiate client certificate não está habilitada no APIM, o gateway não solicita o certificado de cliente durante o handshake TLS. Como consequência, context.Request.Certificate nunca é null nesse estado; ele simplesmente não existe como objeto preenchido, e a expressão de política avalia de forma que a condição == null não dispara o retorno 401 da maneira esperada pelo engenheiro.

A alternativa B descreve o sintoma oposto: se Certificate fosse sempre null, a política bloquearia todas as requisições, não as aprovaria. A alternativa A é incorreta porque choose é plenamente suportado em inbound. A alternativa D descreve uma limitação que não existe: o modo interno de rede virtual não impede a inspeção de certificados de cliente.

Gabarito — Questão 5

Resposta: B

A política SSL personalizada do Application Gateway governa exclusivamente a conexão entre o cliente e o gateway, ou seja, a camada de entrada. A conexão entre o gateway e o backend é controlada pelas configurações HTTP do backend (Backend HTTP Settings), onde se define se TLS está habilitado, qual versão mínima aceitar e se o certificado do backend deve ser validado. Essas duas camadas são independentes e configuradas separadamente.

A alternativa A é falsa: a política SSL personalizada é aplicada sem fallback; versões desabilitadas são recusadas. A alternativa C é o equívoco mais comum, e representa a confusão entre as duas camadas de TLS no Application Gateway. A alternativa D extrapola o escopo da política do gateway para os backends, o que não ocorre; backends são recursos independentes com sua própria configuração de TLS.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Cenário Técnico​

Questão 5 — Múltipla Escolha​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​