Imporre una versione minima richiesta di Transport Layer Security (TLS) per le richieste a uno spazio dei nomi di Hub eventi

La comunicazione tra un'applicazione client e uno spazio dei nomi di Hub eventi di Azure viene crittografata tramite Transport Layer Security (TLS). TLS è un protocollo di crittografia standard che assicura la privacy e l'integrità dei dati tra client e servizi su Internet. Per altre informazioni su TLS, vedere Transport Layer Security.

Hub eventi di Azure supporta la scelta di una versione TLS specifica per gli spazi dei nomi. Attualmente Hub eventi di Azure usa TLS 1.2 negli endpoint pubblici per impostazione predefinita, ma i protocolli TLS 1.0 e TLS 1.1 sono ancora supportati per la compatibilità con le versioni precedenti.

Gli spazi dei nomi di Hub eventi di Azure consentono ai client di inviare e ricevere dati con TLS 1.0 e versioni successive. Per applicare misure di sicurezza più rigorose, è possibile configurare lo spazio dei nomi di Hub eventi in modo da richiedere che i client inviino e ricevano i dati con una versione più recente di TLS. Se uno spazio dei nomi di Hub eventi richiede una versione minima di TLS, le richieste effettuate con una versione precedente avranno esito negativo.

Importante

Se si usa un servizio che si connette a Hub eventi di Azure, assicurarsi che il servizio usi la versione appropriata di TLS per inviare richieste ad Archiviazione di Azure prima di impostare la versione minima necessaria per un account di archiviazione.

Autorizzazioni necessarie per richiedere una versione minima di TLS

Per impostare la proprietà MinimumTlsVersion per lo spazio dei nomi di Hub eventi, un utente deve disporre delle autorizzazioni per creare e gestire gli spazi dei nomi di Hub eventi. I ruoli di controllo degli accessi in base al ruolo di Azure che forniscono queste autorizzazioni includono l'azione Microsoft.EventHub/namespaces/write or Microsoft.EventHub/namespaces/* action. I ruoli predefiniti con questa azione includono:

• Il ruolo di Proprietario Azure Resource Manager
• Il ruolo di Collaboratore Azure Resource Manager
• Ruolo proprietario dei dati di Hub eventi di Azure

Le assegnazioni di ruolo devono avere come ambito il livello dello spazio dei nomi di Hub eventi o un livello superiore per consentire a un utente di richiedere una versione minima di TLS per lo spazio dei nomi di Hub eventi. Per altre informazioni sull'ambito del ruolo, vedere Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Prestare attenzione a limitare l'assegnazione di questi ruoli solo agli utenti che richiedono la possibilità di creare uno spazio dei nomi di Hub eventi o di aggiornarne le proprietà. Usare il principio dei privilegi minimi per assicurarsi che gli utenti abbiano le autorizzazioni minime necessarie per eseguire le attività. Per altre informazioni sulla gestione dell'accesso con il controllo degli accessi in base al ruolo di Azure, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

Nota

I ruoli di amministratore della sottoscrizione classica Amministratore del servizio e Coamministratore includono l'equivalente del ruolo di Proprietario di Azure Resource Manager. Il ruolo di Proprietario include tutte le azioni, quindi un utente con uno di questi ruoli amministrativi può anche creare e gestire gli spazi dei nomi di Hub eventi. Per altre informazioni, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.

Considerazioni per la rete

Quando un client invia una richiesta all'account di archiviazione a uno spazio dei nomi di Hub eventi, il client stabilisce una connessione con l'endpoint dello spazio dei nomi di Hub eventi prima di elaborare le richieste. L'impostazione della versione minima di TLS viene controllata dopo aver stabilito la connessione TLS. Se la richiesta usa una versione precedente di TLS rispetto a quella specificata dall'impostazione, la connessione continuerà ad avere esito positivo, ma la richiesta avrà infine esito negativo.

Nota

A causa di limitazioni nella libreria confluente, gli errori provenienti da una versione TLS non valida non verranno visualizzati durante la connessione tramite il protocollo Kafka. Verrà invece visualizzata un'eccezione generale.

Ecco alcuni elementi importanti da considerare:

• Una traccia di rete mostra la corretta creazione di una connessione TCP e la negoziazione TLS riuscita, prima che venga restituita una versione 401 se la versione TLS usata è inferiore alla versione minima di TLS configurata.
• La penetrazione o l'analisi degli endpoint in yournamespace.servicebus.windows.net indicherà il supporto per TLS 1.0, TLS 1.1 e TLS 1.2, perché il servizio continua a supportare tutti questi protocolli. La versione minima di TLS, applicata a livello di spazio dei nomi, indica la versione TLS più bassa supportata dallo spazio dei nomi.

Passaggi successivi

Per altre informazioni, vedere la documentazione seguente.

• Configurare la versione minima di TLS per uno spazio dei nomi di Hub eventi
• Configurare Transport Layer Security (TLS) per un'applicazione client di Hub eventi
• Usare Criteri di Azure per controllare la conformità della versione minima di TLS per uno spazio dei nomi di Hub eventi