Applicare una versione minima richiesta di Transport Layer Security (TLS) per le richieste a uno spazio dei nomi di Hub eventi (anteprima)

La comunicazione tra un'applicazione client e uno spazio dei nomi Hub eventi di Azure viene crittografata tramite Transport Layer Security (TLS). TLS è un protocollo di crittografia standard che garantisce la privacy e l'integrità dei dati tra client e servizi tramite Internet. Per altre informazioni su TLS, vedere Transport Layer Security.

Hub eventi di Azure supporta la scelta di una versione TLS specifica per gli spazi dei nomi. Attualmente Hub eventi di Azure usa TLS 1.2 su endpoint pubblici per impostazione predefinita, ma TLS 1.0 e TLS 1.1 sono ancora supportati per la compatibilità con le versioni precedenti.

Hub eventi di Azure spazi dei nomi consentono ai client di inviare e ricevere dati con TLS 1.0 e versioni successive. Per applicare misure di sicurezza più rigorose, è possibile configurare lo spazio dei nomi di Hub eventi per richiedere che i client inviino e ricevano dati con una versione più recente di TLS. Se uno spazio dei nomi di Hub eventi richiede una versione minima di TLS, le richieste effettuate con una versione precedente avranno esito negativo.

Importante

Se si usa un servizio che si connette a Hub eventi di Azure, assicurarsi che il servizio usi la versione appropriata di TLS per inviare richieste a Hub eventi di Azure prima di impostare la versione minima necessaria per uno spazio dei nomi di Hub eventi.

Autorizzazioni necessarie per richiedere una versione minima di TLS

Per impostare la MinimumTlsVersion proprietà per lo spazio dei nomi di Hub eventi, un utente deve disporre delle autorizzazioni per creare e gestire gli spazi dei nomi di Hub eventi. I ruoli del controllo degli accessi in base al ruolo di Azure che forniscono queste autorizzazioni includono l'azione Microsoft.EventHub/namespaces/write o Microsoft.EventHub/namespaces/* . I ruoli predefiniti con questa azione includono:

Le assegnazioni di ruolo devono avere come ambito il livello dello spazio dei nomi di Hub eventi o superiore per consentire a un utente di richiedere una versione minima di TLS per lo spazio dei nomi di Hub eventi. Per altre informazioni sull'ambito del ruolo, vedere Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Prestare attenzione a limitare l'assegnazione di questi ruoli solo a coloro che richiedono la possibilità di creare uno spazio dei nomi di Hub eventi o di aggiornarne le proprietà. Usare il principio dei privilegi minimi per assicurarsi che gli utenti dispongano delle autorizzazioni più poche necessarie per eseguire le proprie attività. Per altre informazioni sulla gestione dell'accesso con il controllo degli accessi in base al ruolo di Azure, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

Nota

I ruoli di amministratore della sottoscrizione classica Amministratore del servizio e Co-Administrator includono l'equivalente del ruolo Proprietario di Azure Resource Manager. Il ruolo Proprietario include tutte le azioni, quindi un utente con uno di questi ruoli amministrativi può anche creare e gestire spazi dei nomi di Hub eventi. Per altre informazioni, vedere Ruoli di amministratore della sottoscrizione classica, ruoli di Azure e Azure AD ruoli di amministratore.

Considerazioni per la rete

Quando un client invia una richiesta a uno spazio dei nomi di Hub eventi, il client stabilisce prima di tutto una connessione con l'endpoint dello spazio dei nomi di Hub eventi, prima di elaborare le richieste. L'impostazione minima della versione TLS viene controllata dopo aver stabilito la connessione TLS. Se la richiesta usa una versione precedente di TLS rispetto a quella specificata dall'impostazione, la connessione continuerà a avere esito positivo, ma la richiesta avrà esito negativo.

Nota

A causa di limitazioni nella libreria confluente, gli errori provenienti da una versione TLS non valida non verranno visualizzati durante la connessione tramite il protocollo Kafka. Verrà invece visualizzata un'eccezione generale.

Ecco alcuni punti importanti da considerare:

  • Una traccia di rete mostra la corretta creazione di una connessione TCP e la negoziazione TLS riuscita, prima che venga restituita una versione 401 se la versione TLS usata è inferiore alla versione minima di TLS configurata.
  • La penetrazione o l'analisi degli endpoint in yournamespace.servicebus.windows.net indicherà il supporto per TLS 1.0, TLS 1.1 e TLS 1.2, perché il servizio continua a supportare tutti questi protocolli. La versione minima di TLS, applicata a livello di spazio dei nomi, indica la versione tls più bassa supportata dallo spazio dei nomi.

Passaggi successivi

Per altre informazioni, vedere la documentazione seguente.