Настройка минимально требуемой версии протокола TLS для запросов к пространству имен Центров событий Azure
Для шифрования данных, пересылаемых между клиентским приложением и пространством имен Центров событий Azure, используется протокол TLS. TLS — это стандартный протокол шифрования, обеспечивающий конфиденциальность и целостность данных, пересылаемых между клиентами и службами через Интернет. Дополнительные сведения см. в статье Протокол TLS.
Служба "Центры событий Azure" поддерживает выбор определенной версии TLS для пространств имен. В настоящее время для общедоступных конечных точек служба "Центры событий Azure" использует версию TLS 1.2, однако версии TLS 1.0 и TLS 1.1 также поддерживаются для обеспечения обратной совместимости.
В пространстве имен Центров событий Azure клиентам разрешается отправлять и получать данные с использованием протокола TLS 1.0 и последующих версий. Чтобы обеспечить более строгие меры безопасности, можно настроить пространство имен Центров событий таким образом, чтобы клиенты отправляли и получали данные с помощью более новой версии TLS. Если в пространстве имен Центров событий настроено требование минимальной версии TLS, все запросы, созданные с использованием более старой версии, будут завершаться ошибкой.
Важно!
Если вы используете службу, которая подключается к Центры событий Azure, убедитесь, что служба использует соответствующую версию TLS для отправки запросов в Центры событий Azure перед заданием требуемой минимальной версии пространства имен Центров событий.
Разрешения, необходимые для принудительного использования минимальной версии TLS
Чтобы задать свойство MinimumTlsVersion для пространства имен Центров событий, пользователь должен иметь разрешения на создание пространств имен Центров событий и управление ими. Роли управления доступом Azure (Azure RBAC), которые обладают такими разрешениями, включают действие Microsoft.EventHub/namespaces/write или Microsoft.EventHub/namespaces/*. Встроенные роли с этим действием:
- Владелец Azure Resource Manager.
- участник Azure Resource Manager;
- роль владельца данных Центров событий Azure.
Чтобы разрешить пользователю требовать минимальную версию TLS для пространства имен Центров событий, назначение ролей должно быть ограничено уровнем пространства имен Центров событий или выше. Дополнительные сведения об области роли см. в разделе Общие сведения об области для Azure RBAC.
Рекомендуется назначать эти роли только тем пользователям, которым необходима возможность создавать пространство имен Центров событий или обновлять его свойства. Используйте принцип наименьших привилегий, чтобы предоставлять пользователям минимальный набор разрешений, необходимый для выполнения их задач. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в разделе Рекомендации по использованию Azure RBAC.
Примечание.
Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль владельца включает в себя все действия, поэтому пользователь, которому назначена одна из этих административных ролей, также может создавать пространства имен Центров событий и управлять ими. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.
Рекомендации по сети
Когда клиент отправляет запрос в пространство имен Центров событий, прежде чем приступить к обработке запросов, он устанавливает соединение с конечной точкой пространства имен Центров событий. Параметр минимальной версии TLS проверяется после установки соединения TLS. Если в запросе используется более ранняя версия TLS, чем указано в параметрах, соединение будет продолжено, но запрос в конечном итоге завершится ошибкой.
Примечание.
Из-за ограничений в библиотеке confluent ошибки, связанные с недопустимой версией TLS, не будут отображаться при подключении через протокол Kafka. Вместо этого отобразится общее исключение.
Вот несколько важных моментов, которые следует учитывать:
- Трассировка сети показывает успешное создание TCP-подключения и успешное согласование TLS до возврата ошибки 401, если используемая версия TLS меньше минимальной настроенной версии TLS.
- Сканирование на проникновение или конечной точки
yournamespace.servicebus.windows.netуказывает на поддержку TLS 1.0, TLS 1.1 и TLS 1.2, так как служба продолжает поддерживать все эти протоколы. Минимальная версия TLS, применяемая на уровне пространства имен, указывает, какая минимальная версия TLS будет поддерживать пространство имен.
Следующие шаги
Дополнительные сведения см. в следующей документации:
- Настройка минимальной версии TLS для пространства имен Центров событий
- Настройка протокола TLS для клиентского приложения Центров событий
- Использование Политики Azure для выполнения аудита на предмет соответствия требованиям по использованию минимальной версии TLS для пространства имен Центров событий