Appliquer une version minimale requise du protocole TLS (Transport Layer Security) pour des demandes adressées à un espace de noms Event Hubs

La communication entre une application cliente et un espace de noms Azure Event Hubs est chiffrée à l’aide du protocole TLS (Transport Layer Security). Le protocole TLS est un protocole de chiffrement standard qui garantit la confidentialité et l’intégrité des données entre les clients et les services via Internet. Pour plus d’informations sur le protocole TLS , consultez TLS.

Azure Event Hubs prend en charge le choix d’une version TLS spécifique pour les espaces de noms. Actuellement, Azure Event Hubs utilise le protocole TLS 1.2 sur les points de terminaison publics par défaut, mais les protocoles TLS 1.0 et TLS 1.1 sont toujours pris en charge à des fins de compatibilité descendante.

Les espaces de noms Azure Event Hubs permettent aux clients d’envoyer et de recevoir des données avec TLS 1.0 et versions ultérieures. Pour appliquer des mesures de sécurité plus strictes, vous pouvez configurer votre espace de noms Event Hubs afin d’exiger que les clients envoient et reçoivent des données avec une version plus récente du protocole TLS. Si un espace de noms Event Hubs nécessite une version minimale du protocole TLS, les demandes effectuées avec une version antérieure échouent.

Important

Si vous utilisez un service qui se connecte à Azure Event Hubs, vérifiez qu’il utilise la bonne version du protocole TLS pour envoyer des demandes à Azure Event Hubs avant de définir la version minimale requise pour un espace de noms Event Hubs.

Autorisations nécessaires pour exiger une version minimale du protocole TLS

Pour définir la propriété MinimumTlsVersion de l’espace de noms Event Hubs, un utilisateur doit disposer des autorisations nécessaires pour créer et gérer des espaces de noms Event Hubs. Les rôles de contrôle d’accès en fonction du rôle Azure (Azure RBAC) qui fournissent ces autorisations incluent l’action Microsoft.EventHub/namespaces/write ou l’action Microsoft.EventHub/namespaces/*. Parmi les rôles intégrés comportant cette action figurent :

• Le rôle Propriétaire d’Azure Resource Manager
• Le rôle Contributeur d’Azure Resource Manager
• Le rôle Propriétaire de données Azure Event Hubs

Les attributions de rôles doivent être définies au niveau de l’espace de noms Event Hubs ou à un niveau supérieur pour permettre à un utilisateur d’exiger une version minimale du protocole TLS pour l’espace de noms Event Hubs. Pour plus d’informations sur l’étendue des rôles, consultez Comprendre l’étendue pour Azure RBAC.

Veillez à limiter l’attribution de ces rôles aux seules personnes qui ont besoin de créer un espace de noms Event Hubs ou de mettre à jour ses propriétés. Appliquez le principe des privilèges minimum pour que les utilisateurs disposent des autorisations nécessaires les plus faibles possibles pour accomplir leurs tâches. Pour plus d’informations sur la gestion de l’accès avec Azure RBAC, consultez Meilleures pratiques pour Azure RBAC.

Notes

Les rôles d’administrateur d’abonnement classique Administrateur de service et Co-administrateur incluent l’équivalent du rôle Propriétaire d’Azure Resource Manager. Le rôle Propriétaire comprend toutes les actions. Par conséquent, un utilisateur disposant de l’un de ces rôles d’administration peut également créer et gérer des espaces de noms Event Hubs. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.

Considérations relatives au réseau

Quand un client envoie une demande à un espace de noms Event Hubs, il établit d’abord une connexion avec le point de terminaison public de cet espace de noms, puis la demande est traitée. Le paramètre de version TLS minimale est vérifié après l’établissement de la connexion TLS. Si la demande utilise une version de TLS antérieure à celle spécifiée par le paramètre, la connexion continue, mais la demande finit par échouer.

Notes

En raison des limitations de la bibliothèque, les erreurs provenant d’une version TLS non valide ne s’affichent pas lors de la connexion via le protocole Kafka. Au lieu de cela, une exception générale s’affiche.

Voici quelques points importants à prendre en compte :

• Une trace réseau indique la réussite de l’établissement d’une connexion TCP et d’une négociation TLS, avant qu’une erreur 401 soit retournée si la version TLS utilisée est inférieure à la version TLS minimale configurée.
• L’analyse de la pénétration ou du point de terminaison sur yournamespace.servicebus.windows.net indique la prise en charge de TLS 1.0, TLS 1.1 et TLS 1.2, car le service continue de prendre en charge tous ces protocoles. La version TLS minimale, appliquée au niveau de l’espace de noms, indique la version TLS la plus basse prise en charge par l’espace de noms.

Étapes suivantes

Pour plus d’informations, consultez la documentation suivante.

• Configurer la version TLS minimale pour un espace de noms Event Hubs
• Configurer le protocole TLS (Transport Layer Security) pour une application cliente Event Hubs
• Utilisez Azure Policy pour auditer la conformité en ce qui concerne la version TLS minimale pour un espace de noms Event Hubs