Wymuszanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla żądań do przestrzeni nazw usługi Event Hubs

Komunikacja między aplikacją kliencką a przestrzenią nazw usługi Azure Event Hubs jest szyfrowana przy użyciu protokołu Transport Layer Security (TLS). TLS to standardowy protokół kryptograficzny, który zapewnia prywatność i integralność danych między klientami i usługami przez Internet. Aby uzyskać więcej informacji na temat protokołu TLS, zobacz Transport Layer Security.

Usługa Azure Event Hubs obsługuje wybieranie określonej wersji protokołu TLS dla przestrzeni nazw. Obecnie usługa Azure Event Hubs domyślnie używa protokołu TLS 1.2 w publicznych punktach końcowych, ale protokoły TLS 1.0 i TLS 1.1 są nadal obsługiwane w celu zapewnienia zgodności z poprzednimi wersjami.

Przestrzenie nazw usługi Azure Event Hubs umożliwiają klientom wysyłanie i odbieranie danych przy użyciu protokołu TLS 1.0 lub nowszego. Aby wymusić ostrzejsze środki zabezpieczeń, możesz skonfigurować przestrzeń nazw usługi Event Hubs tak, aby wymagać od klientów wysyłania i odbierania danych przy użyciu nowszej wersji protokołu TLS. Jeśli przestrzeń nazw usługi Event Hubs wymaga minimalnej wersji protokołu TLS, wszystkie żądania wysyłane ze starszą wersją nie powiedzą się.

Ważne

Jeśli używasz usługi łączącej się z usługą Azure Event Hubs, upewnij się, że usługa używa odpowiedniej wersji protokołu TLS do wysyłania żądań do usługi Azure Event Hubs przed ustawieniem wymaganej minimalnej wersji dla przestrzeni nazw usługi Event Hubs.

Uprawnienia niezbędne do wymagania minimalnej wersji protokołu TLS

Aby ustawić MinimumTlsVersion właściwość przestrzeni nazw usługi Event Hubs, użytkownik musi mieć uprawnienia do tworzenia przestrzeni nazw usługi Event Hubs i zarządzania nimi. Role kontroli dostępu opartej na rolach (RBAC) platformy Azure, które zapewniają te uprawnienia, obejmują akcję Microsoft.EventHub/namespaces/write lub Microsoft.EventHub/namespaces/* . Wbudowane role z tą akcją obejmują:

• Rola właściciela usługi Azure Resource Manager
• Rola Współautor usługi Azure Resource Manager
• Rola właściciela danych usługi Azure Event Hubs

Przypisania ról muszą być ograniczone do poziomu przestrzeni nazw usługi Event Hubs lub nowszej, aby umożliwić użytkownikowi wymaganie minimalnej wersji protokołu TLS dla przestrzeni nazw usługi Event Hubs. Aby uzyskać więcej informacji na temat zakresu ról, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.

Należy zachować ostrożność, aby ograniczyć przypisywanie tych ról tylko do tych, którzy wymagają możliwości utworzenia przestrzeni nazw usługi Event Hubs lub zaktualizowania jej właściwości. Użyj zasady najniższych uprawnień, aby upewnić się, że użytkownicy mają najmniejsze uprawnienia, których potrzebują do wykonania swoich zadań. Aby uzyskać więcej informacji na temat zarządzania dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.

Uwaga

Role klasycznego administratora subskrypcji Service Administracja istrator i Współ-Administracja istrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel obejmuje wszystkie akcje, więc użytkownik z jedną z tych ról administracyjnych może również tworzyć przestrzenie nazw usługi Event Hubs i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Kwestie dotyczące sieci

Gdy klient wysyła żądanie do przestrzeni nazw usługi Event Hubs, klient najpierw nawiązuje połączenie z punktem końcowym przestrzeni nazw usługi Event Hubs przed przetworzeniem żądań. Minimalne ustawienie wersji protokołu TLS jest sprawdzane po nawiązaniu połączenia TLS. Jeśli żądanie używa wcześniejszej wersji protokołu TLS niż określona przez ustawienie, połączenie będzie nadal działać pomyślnie, ale żądanie ostatecznie zakończy się niepowodzeniem.

Uwaga

Ze względu na ograniczenia w bibliotece confluent błędy pochodzące z nieprawidłowej wersji protokołu TLS nie będą pojawiać się podczas nawiązywania połączenia za pośrednictwem protokołu Kafka. Zamiast tego zostanie wyświetlony ogólny wyjątek.

Oto kilka ważnych kwestii, które należy wziąć pod uwagę:

• Ślad sieciowy pokazuje pomyślne utworzenie połączenia TCP i pomyślne negocjowanie protokołu TLS, zanim zostanie zwrócony błąd 401, jeśli używana wersja protokołu TLS jest mniejsza niż minimalna skonfigurowana wersja protokołu TLS.
• Skanowanie penetracyjne lub końcowe yournamespace.servicebus.windows.net oznacza obsługę protokołów TLS 1.0, TLS 1.1 i TLS 1.2, ponieważ usługa nadal obsługuje wszystkie te protokoły. Minimalna wersja protokołu TLS wymuszana na poziomie przestrzeni nazw wskazuje, jaka jest najniższa wersja protokołu TLS obsługiwana przez przestrzeń nazw.

Następne kroki

Aby uzyskać więcej informacji, zobacz następującą dokumentację.

• Konfigurowanie minimalnej wersji protokołu TLS dla przestrzeni nazw usługi Event Hubs
• Konfigurowanie protokołu Transport Layer Security (TLS) dla aplikacji klienckiej usługi Event Hubs
• Używanie usługi Azure Policy do inspekcji pod kątem zgodności minimalnej wersji protokołu TLS dla przestrzeni nazw usługi Event Hubs