Mengonfigurasi versi TLS minimum untuk namespace layanan Azure Event Hubs

Namespace layanan Azure Event Hubs mengizinkan klien untuk mengirim dan menerima data dengan TLS 1.0 dan yang lebih baru. Untuk menerapkan langkah-langkah keamanan yang lebih ketat, Anda dapat mengonfigurasi namespace layanan Azure Event Hubs Anda agar mewajibkan klien mengirim dan menerima data dengan versi TLS yang lebih baru. Jika namespace layanan Azure Event Hubs memerlukan versi minimum TLS, maka setiap permintaan yang dibuat dengan versi yang lebih lama akan gagal. Untuk informasi konseptual tentang fitur ini, lihat Menerapkan versi minimum Keamanan Lapisan Transportasi (TLS) yang diperlukan untuk permintaan ke namespace layanan Azure Event Hubs.

Anda dapat mengonfigurasi versi TLS minimum menggunakan portal Azure atau templat Azure Resource Manager (ARM).

Tentukan versi TLS minimum di portal Microsoft Azure

Anda dapat menentukan versi TLS minimum saat membuat namespace alyanan Azure Event Hubs di portal Azure pada tab Tingkat Lanjut.

Anda juga dapat menentukan versi TLS minimum untuk namespace yang ada di halaman Konfigurasi.

Membuat templat untuk mengonfigurasi versi TLS minimum

Untuk mengonfigurasi versi TLS minimum untuk akun namespace layanan Azure Event Hubs dengan templat, buat templat dengan properti MinimumTlsVersion yang diatur ke 1.0, 1.1, atau 1.2. Saat membuat namespace layanan Azure Event Hubs dengan templat Azure Resource Manager, properti MinimumTlsVersion diatur ke 1.2 secara default, kecuali secara eksplisit diatur ke versi lain.

Catatan

Namespace layanan yang dibuat menggunakan api-version sebelum 2022-01-01-preview akan memiliki 1.0 sebagai nilai untuk MinimumTlsVersion. Perilaku ini adalah nilai default sebelumnya, dan masih ada untuk kompatibilitas mundur.

Langkah-langkah berikut ini menjelaskan cara membuat templat di portal Microsoft Azure.

1. Di portal Microsoft Azure, pilih Buat sumber daya.

2. Di Telusuri Marketplace, ketik penyebaran templat, lalu tekan ENTER.

3. Pilih Penyebaran kustom (sebarkan menggunakan templat kustom) (pratinjau), pilih Buat, lalu pilih Buat templat Anda sendiri di editor.

4. Di editor templat, tempelkan JSON berikut untuk membuat namespace layanan baru dan mengatur TLS versi minimum ke TLS 1.2. Ingatlah untuk mengganti tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "eventHubNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
       },
       "resources": [
           {
           "name": "[variables('eventHubNamespaceName')]",
           "type": "Microsoft.EventHub/namespaces",
           "apiVersion": "2022-01-01-preview",
           "location": "westeurope",
           "properties": {
               "minimumTlsVersion": "1.2"
           },
           "dependsOn": [],
           "tags": {}
           }
       ]
   }
   

5. Simpan templat.

6. Tentukan parameter grup sumber daya, kemudian pilih tombol Tinjau + buat untuk menyebarkan templat dan membuat namespace layanan dengan properti MinimumTlsVersion yang dikonfigurasi.

Catatan

Setelah Anda memperbarui versi TLS minimum untuk namespace layanan Azure Event Hubs, mungkin dibutuhkan waktu hingga 30 detik sebelum perubahan disebarluaskan sepenuhnya.

Mengonfigurasi versi TLS minimum memerlukan versi api 2022-01-01-pratinjau atau yang lebih baru dari penyedia sumber daya Azure Event Hubs.

Periksa versi TLS minimum yang diperlukan untuk namespace layanan

Untuk memeriksa versi TLS minimum yang diperlukan untuk namespace layanan Azure Event Hubs, Anda dapat mengkueri Azure Resource Manager API. Anda memerlukan token Bearer untuk melakukan kueri terhadap API, yang dapat Anda ambil menggunakan aplikasi ARMClient dengan menjalankan perintah berikut.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Setelah Anda memiliki token pembawa, Anda dapat menggunakan skrip di bawah ini dalam kombinasi dengan sesuatu seperti REST Client untuk mengkueri API.

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.EventHub/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Respons akan terlihat seperti di bawah ini, dengan minimumTlsVersion yang diatur di bawah properti.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium",
    "capacity": 1
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.EventHub/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.EventHub/Namespaces",
  "location": "West Europe",
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": true,
    "isAutoInflateEnabled": false,
    "maximumThroughputUnits": 0,
    "kafkaEnabled": true,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Menguji versi TLS minimum dari klien

Untuk menguji bahwa versi TLS minimum yang diperlukan untuk namespace layanan Azure Event Hubs melarang panggilan yang dilakukan dengan versi lama, Anda dapat mengonfigurasi klien untuk menggunakan versi TLS yang lama. Untuk informasi selengkapnya tentang mengonfigurasi klien agar menggunakan versi TLS tertentu, lihat Mengonfigurasi Keamanan Lapisan Transportasi (TLS) untuk aplikasi klien.

Saat klien mengakses namespace layanan Azure Event Hubs menggunakan versi TLS yang tidak memenuhi versi TLS minimum yang dikonfigurasi untuk namespace layanan, Azure Event Hubs mengembalikan kode galat 401 (Tidak Diotorisasi) dan pesan yang menunjukkan bahwa versi TLS yang digunakan tidak diizinkan untuk membuat permintaan terhadap namespace layanan Azure Event Hubs ini.

Catatan

Karena keterbatasan dalam pustaka confluent, kesalahan yang berasal dari versi TLS yang tidak valid tidak akan muncul saat menyambungkan melalui protokol Kafka. Sebaliknya, pengecualian umum akan ditampilkan.

Catatan

Saat Anda mengonfigurasi versi TLS minimum untuk namespace layanan Azure Event Hubs, versi minimum tersebut diberlakukan di lapisan aplikasi. Alat yang mencoba menentukan dukungan TLS pada lapisan protokol dapat mengembalikan versi TLS selain versi minimum yang diperlukan saat dijalankan langsung terhadap titik akhir namespace layanan Azure Event Hubs.

Langkah berikutnya

Untuk informasi lebih lanjut, lihat artikel berikut.

• Memberlakukan versi minimum Keamanan Lapisan Transportasi (TLS) yang diperlukan untuk permintaan ke namespace layanan Azure Event Hubs
• Mengonfigurasikan Keamanan Lapisan Transportasi (TLS) untuk aplikasi klien Azure Event Hubs
• Menggunakan Azure Policy untuk mengaudit kepatuhan versi TLS minimum untuk namespace layanan Azure Event Hubs