Vynucení minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Event Hubs

Komunikace mezi klientskou aplikací a oborem názvů služby Azure Event Hubs se šifruje pomocí protokolu TLS (Transport Layer Security). TLS je standardní kryptografický protokol, který zajišťuje ochranu soukromí a integritu dat mezi klienty a službami přes internet. Další informace o protokolu TLS naleznete v tématu Transport Layer Security.

Azure Event Hubs podporuje výběr konkrétní verze protokolu TLS pro obory názvů. Služba Azure Event Hubs v současné době ve výchozím nastavení používá protokol TLS 1.2 ve veřejných koncových bodech, ale kvůli zpětné kompatibilitě se stále podporuje protokol TLS 1.0 a TLS 1.1.

Obory názvů služby Azure Event Hubs umožňují klientům odesílat a přijímat data pomocí protokolu TLS 1.0 a vyšší. Pokud chcete vynutit přísnější bezpečnostní opatření, můžete nakonfigurovat obor názvů služby Event Hubs tak, aby klienti odesílali a přijímali data s novější verzí protokolu TLS. Pokud obor názvů služby Event Hubs vyžaduje minimální verzi protokolu TLS, všechny požadavky provedené ve starší verzi selžou.

Důležité

Pokud používáte službu, která se připojuje ke službě Azure Event Hubs, ujistěte se, že služba používá odpovídající verzi protokolu TLS k odesílání požadavků do služby Azure Event Hubs, než nastavíte požadovanou minimální verzi oboru názvů služby Event Hubs.

Oprávnění potřebná k vyžadování minimální verze protokolu TLS

Pokud chcete nastavit MinimumTlsVersion vlastnost oboru názvů služby Event Hubs, musí mít uživatel oprávnění k vytváření a správě oborů názvů služby Event Hubs. Role řízení přístupu na základě role Azure (Azure RBAC), které poskytují tato oprávnění, zahrnují akci Microsoft.EventHub/namespaces/write nebo Microsoft.EventHub/namespaces/* . Mezi předdefinované role s touto akcí patří:

• Role vlastníka Azure Resource Manageru
• Role Přispěvatel Azure Resource Manageru
• Role Vlastník dat služby Azure Event Hubs

Přiřazení rolí musí být vymezena na úroveň oboru názvů služby Event Hubs nebo vyšší, aby uživatel pro obor názvů služby Event Hubs vyžadoval minimální verzi protokolu TLS. Další informace o oboru role najdete v tématu Vysvětlení oboru pro Azure RBAC.

Dávejte pozor, abyste přiřazování těchto rolí omezili jenom na ty, kteří vyžadují možnost vytvořit obor názvů služby Event Hubs nebo aktualizovat jeho vlastnosti. Pomocí principu nejnižšího oprávnění se ujistěte, že uživatelé mají nejmenší oprávnění, která potřebují k plnění svých úkolů. Další informace o správě přístupu pomocí Azure RBAC najdete v tématu Osvědčené postupy pro Azure RBAC.

Poznámka:

Role klasického správce předplatného Service Správa istrator a Spolu Správa istrator zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role Vlastník zahrnuje všechny akce, takže uživatel s jednou z těchto rolí pro správu může také vytvářet a spravovat obory názvů služby Event Hubs. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.

Důležité informace z hlediska využívání sítě

Když klient odešle požadavek do oboru názvů služby Event Hubs, klient nejprve vytvoří připojení ke koncovému bodu oboru názvů služby Event Hubs před zpracováním jakýchkoli požadavků. Po navázání připojení TLS se zkontroluje minimální nastavení verze protokolu TLS. Pokud požadavek používá starší verzi protokolu TLS, než která je určená nastavením, připojení bude i nadále úspěšné, ale požadavek nakonec selže.

Poznámka:

Kvůli omezením v knihovně confluent se při připojování přes protokol Kafka nezobrazí chyby pocházející z neplatné verze protokolu TLS. Místo toho se zobrazí obecná výjimka.

Tady je několik důležitých bodů, které je potřeba vzít v úvahu:

• Trasování sítě by ukázalo úspěšné vytvoření připojení TCP a úspěšné vyjednávání protokolu TLS před 401, pokud je použitá verze protokolu TLS menší než minimální nakonfigurovaná verze protokolu TLS.
• Kontrola yournamespace.servicebus.windows.net průniku nebo koncového bodu bude indikovat podporu protokolu TLS 1.0, TLS 1.1 a TLS 1.2, protože služba nadále podporuje všechny tyto protokoly. Minimální verze protokolu TLS vynucená na úrovni oboru názvů označuje, jakou nejnižší verzi protokolu TLS bude obor názvů podporovat.

Další kroky

Další informace najdete v následující dokumentaci.

• Konfigurace minimální verze protokolu TLS pro obor názvů služby Event Hubs
• Konfigurace protokolu TLS (Transport Layer Security) pro klientskou aplikaci služby Event Hubs
• Použití služby Azure Policy k auditování dodržování minimální verze protokolu TLS pro obor názvů služby Event Hubs