Vynucování minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Service Bus
Komunikace mezi klientskou aplikací a oborem názvů služby Azure Service Bus se šifruje pomocí protokolu TLS (Transport Layer Security). TLS je standardní kryptografický protokol, který zajišťuje ochranu soukromí a integritu dat mezi klienty a službami přes internet. Další informace o protokolu TLS naleznete v tématu Transport Layer Security.
Azure Service Bus podporuje volbu konkrétní verze protokolu TLS pro obory názvů. Azure Service Bus v současné době používá na veřejných koncových bodech standardně protokol TLS 1.2, ale kvůli zpětné kompatibilitě se pořád podporují i protokoly TLS 1.0 a TLS 1.1.
Obory názvů služby Azure Service Bus umožňují klientům odesílat a přijímat data s protokolem TLS 1.0 a vyšším. Pokud chcete vynutit přísnější bezpečnostní opatření, můžete nakonfigurovat obor názvů služby Service Bus tak, aby vyžadoval, aby klienti odesílali a přijímali data s novější verzí protokolu TLS. Pokud obor názvů služby Service Bus vyžaduje minimální verzi protokolu TLS, všechny požadavky provedené se starší verzí selžou.
Důležité
Pokud používáte službu, která se připojuje ke službě Azure Service Bus, ujistěte se, že služba používá odpovídající verzi protokolu TLS k odesílání požadavků do služby Azure Service Bus, než nastavíte požadovanou minimální verzi oboru názvů služby Service Bus.
Oprávnění potřebná k vyžadování minimální verze protokolu TLS
Pokud chcete nastavit MinimumTlsVersion
vlastnost oboru názvů služby Service Bus, musí mít uživatel oprávnění k vytváření a správě oborů názvů služby Service Bus. Role řízení přístupu na základě role Azure (Azure RBAC), které poskytují tato oprávnění, zahrnují akci Microsoft.ServiceBus/namespaces/write nebo Microsoft.ServiceBus/namespaces/* . Mezi předdefinované role s touto akcí patří:
- Role vlastníka Azure Resource Manageru
- Role Přispěvatel Azure Resource Manageru
- Role Vlastník dat služby Azure Service Bus
Přiřazení rolí musí být vymezena na úroveň oboru názvů služby Service Bus nebo vyšší, aby uživatel pro obor názvů služby Service Bus vyžadoval minimální verzi protokolu TLS. Další informace o oboru role najdete v tématu Vysvětlení oboru pro Azure RBAC.
Dávejte pozor, abyste přiřazování těchto rolí omezili jenom na ty, kteří vyžadují možnost vytvořit obor názvů služby Service Bus nebo aktualizovat jeho vlastnosti. Pomocí principu nejnižšího oprávnění se ujistěte, že uživatelé mají nejmenší oprávnění, která potřebují k plnění svých úkolů. Další informace o správě přístupu pomocí Azure RBAC najdete v tématu Osvědčené postupy pro Azure RBAC.
Poznámka:
Role klasického správce předplatného Service Správa istrator a Spolu Správa istrator zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role Vlastník zahrnuje všechny akce, takže uživatel s jednou z těchto rolí pro správu může také vytvářet a spravovat obory názvů služby Service Bus. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.
Důležité informace z hlediska využívání sítě
Když klient odešle požadavek do oboru názvů služby Service Bus, klient nejprve vytvoří připojení ke koncovému bodu oboru názvů služby Service Bus před zpracováním jakýchkoli požadavků. Po navázání připojení TLS se zkontroluje minimální nastavení verze protokolu TLS. Pokud požadavek používá starší verzi protokolu TLS, než která je určená nastavením, připojení bude i nadále úspěšné, ale požadavek nakonec selže.
Poznámka:
Kvůli zpětné kompatibilitě se obory názvů, které nemají MinimumTlsVersion
zadané nastavení nebo které zadaly jako 1.0, při připojování přes protokol SBMP neprobínáme žádné kontroly TLS.
Dne 30. září 2026 vyřadíme podporu protokolu SBMP pro Azure Service Bus, takže tento protokol už nebudete moct používat po 30. září 2026. Migrujte na nejnovější knihovny sady SDK služby Azure Service Bus pomocí protokolu AMQP, který nabízí důležité aktualizace zabezpečení a vylepšené funkce před tímto datem.
Další informace najdete v oznámení o vyřazení podpory.
Tady je několik důležitých bodů, které je potřeba vzít v úvahu:
- Trasování sítě by ukázalo úspěšné vytvoření připojení TCP a úspěšné vyjednávání protokolu TLS před 401, pokud je použitá verze protokolu TLS menší než minimální nakonfigurovaná verze protokolu TLS.
- Kontrola
yournamespace.servicebus.windows.net
průniku nebo koncového bodu bude indikovat podporu protokolu TLS 1.0, TLS 1.1 a TLS 1.2, protože služba nadále podporuje všechny tyto protokoly. Minimální verze protokolu TLS vynucená na úrovni oboru názvů označuje, jakou nejnižší verzi protokolu TLS bude obor názvů podporovat.
Další kroky
Další informace najdete v následující dokumentaci.