Aplicación de una versión mínima necesaria de Seguridad de la capa de transporte (TLS) para las solicitudes a un espacio de nombres de Event Hubs

  • Artículo

La comunicación entre una aplicación cliente y una cuenta de Azure Event Hubs se cifra mediante la Seguridad de la capa de transporte (TLS). TLS es un protocolo criptográfico estándar que garantiza la privacidad y la integridad de los datos entre los clientes y los servicios a través de Internet. Para más información acerca de TLS, consulte Seguridad de la capa de transporte.

Azure Event Hubs admite la elección de una versión específica de TLS para espacios de nombres. Actualmente, Azure Event Hubs usa TLS 1.2 en puntos de conexión públicos de manera predeterminada. Sin embargo, TLS 1.0 y TLS 1.1 se siguen admitiendo gracias a la compatibilidad con versiones anteriores.

Los espacios de nombre de Azure Event Hubs permiten a los clientes enviar y recibir datos con la versión 1.0 de TLS y con versiones posteriores. Para aplicar medidas de seguridad más estrictas, puede configurar el espacio de nombres de Event Hubs para que los clientes deban enviar y recibir datos con una versión más reciente de TLS. Si el espacio de nombres de Event Hubs requiere una versión mínima de TLS, se producirá un error en todas las solicitudes realizadas con una versión anterior.

Importante

Si usa un servicio que se conecta a Azure Event Hubs, asegúrese de que ese servicio use la versión adecuada de TLS para enviar solicitudes a Azure Event Hubs antes de establecer la versión mínima necesaria para un espacio de nombres de Event Hubs.

Permisos necesarios para requerir una versión mínima de TLS

Para establecer la propiedad MinimumTlsVersion para el espacio de nombres de Event Hubs, un usuario debe tener permisos para crear y administrar espacios de nombres de Event Hubs. Los roles de control de acceso basado en rol de Azure (Azure RBAC) que proporcionan estos permisos incluyen la acción Microsoft.EventHub/namespaces/write o Microsoft.EventHub/namespaces/*. Los roles integrados con esta acción incluyen:

Las asignaciones de roles deben tener el ámbito del nivel del espacio de nombres de Event Hubs o superior para permitir que un usuario requiera una versión mínima de TLS para el espacio de nombres de Event Hubs. Para obtener más información sobre el ámbito de los roles, vea Comprensión del ámbito para RBAC de Azure.

Tenga cuidado de restringir la asignación de estos roles solo a aquellos usuarios que requieran la capacidad de crear un espacio de nombres de Event Hubs o actualizar sus propiedades. Use el principio de privilegios mínimos para asegurarse de que los usuarios tienen los permisos mínimos que necesitan para realizar sus tareas. Para más información sobre la administración del acceso con RBAC de Azure, consulte Procedimientos recomendados para RBAC de Azure.

Nota

Los roles clásicos de administrador de suscripciones Administrador del servicio y Coadministrador equivalen al rol Propietario de Azure Resource Manager. El rol Propietario incluye todas las acciones, por lo que un usuario con uno de estos roles administrativos también puede crear y administrar espacios de nombres de Event Hubs. Para obtener más información, consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripción clásicos .

Consideraciones sobre la red

Cuando un cliente envía una solicitud a un espacio de nombres de Event Hubs, primero establece una conexión con el punto de conexión del espacio de nombres de Event Hubs antes de procesar las solicitudes. Una vez establecida la conexión de TLS, se comprueba la configuración de la versión de TLS mínima. Si la solicitud usa una versión de TLS anterior que la especificada en la configuración, la conexión continuará correctamente, pero la solicitud producirá un error después.

Nota

Debido a las limitaciones de la biblioteca de Confluent, los errores procedentes de una versión de TLS no válida no aparecerán al conectarse a través del protocolo Kafka. En su lugar, se mostrará una excepción general.

Estos son algunos puntos importantes que se deben tener en cuenta:

  • Un seguimiento de red mostraría el establecimiento correcto de una conexión TCP y una negociación TLS correcta antes de la devolución de un 401 si la versión de TLS usada es inferior a la versión mínima de TLS configurada.
  • Un examen de penetración o punto de conexión en yournamespace.servicebus.windows.net indica la compatibilidad con TLS 1.0, TLS 1.1 y TLS 1.2, ya que el servicio sigue admitiendo todos estos protocolos. La versión mínima de TLS, aplicada en el nivel de espacio de nombres, indica cuál es la versión de TLS más baja que admite el espacio de nombres.

Pasos siguientes

Para más información, consulte la siguiente documentación.