Aplicación de una versión mínima necesaria de Seguridad de la capa de transporte (TLS) para las solicitudes a un espacio de nombres de Service Bus

La comunicación entre una aplicación cliente y una cuenta de Azure Service Bus se cifra mediante la Seguridad de la capa de transporte (TLS). TLS es un protocolo criptográfico estándar que garantiza la privacidad y la integridad de los datos entre los clientes y los servicios a través de Internet. Para más información acerca de TLS, consulte Seguridad de la capa de transporte.

Azure Service Bus admite la elección de una versión específica de TLS para espacios de nombres. Actualmente, Azure Service Bus usa TLS 1.2 en puntos de conexión públicos de manera predeterminada. Sin embargo, TLS 1.0 y TLS 1.1 se siguen admitiendo gracias a la compatibilidad con versiones anteriores.

Los espacios de nombre de Azure Service Bus permiten a los clientes enviar y recibir datos con la versión 1.0 de TLS y con versiones posteriores. Para aplicar medidas de seguridad más estrictas, puede configurar el espacio de nombres de Service Bus para que los clientes deban enviar y recibir datos con una versión más reciente de TLS. Si el espacio de nombres de Service Bus requiere una versión mínima de TLS, se producirá un error en todas las solicitudes realizadas con una versión anterior.

Importante

Si usa un servicio que se conecta a Azure Service Bus, asegúrese de que ese servicio use la versión adecuada de TLS para enviar solicitudes a Azure Service Bus antes de establecer la versión mínima necesaria para un espacio de nombres de Service Bus.

Permisos necesarios para requerir una versión mínima de TLS

Para establecer la propiedad MinimumTlsVersion para el espacio de nombres de Service Bus, un usuario debe tener permisos para crear y administrar espacios de nombres de Service Bus. Los roles de control de acceso basado en rol de Azure (Azure RBAC) que proporcionan estos permisos incluyen la acción Microsoft.ServiceBus/namespaces/write o Microsoft.ServiceBus/namespaces/*. Los roles integrados con esta acción incluyen:

• El rol Propietario de Azure Resource Manager
• El rol Colaborador de Azure Resource Manager
• El rol de Propietario de datos de Azure Service Bus

Las asignaciones de roles deben tener el ámbito del nivel del espacio de nombres de Service Bus o superior para permitir que un usuario requiera una versión mínima de TLS para el espacio de nombres de Service Bus. Para obtener más información sobre el ámbito de los roles, vea Comprensión del ámbito para RBAC de Azure.

Tenga cuidado de restringir la asignación de estos roles solo a aquellos usuarios que requieran la capacidad de crear un espacio de nombres de Service Bus o actualizar sus propiedades. Use el principio de privilegios mínimos para asegurarse de que los usuarios tienen los permisos mínimos que necesitan para realizar sus tareas. Para más información sobre la administración del acceso con RBAC de Azure, consulte Procedimientos recomendados para RBAC de Azure.

Nota

Los roles clásicos de administrador de suscripciones Administrador del servicio y Coadministrador equivalen al rol Propietario de Azure Resource Manager. El rol Propietario incluye todas las acciones, por lo que un usuario con uno de estos roles administrativos también puede crear y administrar espacios de nombres de Service Bus. Para obtener más información, consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripción clásicos .

Consideraciones sobre la red

Cuando un cliente envía una solicitud a un espacio de nombres de Service Bus, primero establece una conexión con el punto de conexión del espacio de nombres de Service Bus antes de procesar las solicitudes. Una vez establecida la conexión de TLS, se comprueba la configuración de la versión de TLS mínima. Si la solicitud usa una versión de TLS anterior que la especificada en la configuración, la conexión continuará correctamente, pero la solicitud producirá un error después.

Nota

Debido a la compatibilidad con versiones anteriores, a los espacios de nombres que no tienen especificado el valor MinimumTlsVersion o lo han especificado como 1.0, no se les aplica ninguna comprobación de TLS al conectarse a través del protocolo SBMP.

El 30 de septiembre de 2026, retiraremos el soporte técnico del protocolo SBMP para Azure Service Bus, por lo que ya no podrá usar este protocolo después del 30 de septiembre de 2026. Migre a las bibliotecas más recientes del SDK de Azure Service Bus mediante el protocolo AMQP, que ofrecen actualizaciones de seguridad críticas y funcionalidades mejoradas, antes de esa fecha.

Para obtener más información, consulte el anuncio de retirada de soporte técnico.

Estos son algunos puntos importantes que se deben tener en cuenta:

• Un seguimiento de red mostraría el establecimiento correcto de una conexión TCP y una negociación TLS correcta antes de la devolución de un 401 si la versión de TLS usada es inferior a la versión mínima de TLS configurada.
• Un examen de penetración o punto de conexión en yournamespace.servicebus.windows.net indica la compatibilidad con TLS 1.0, TLS 1.1 y TLS 1.2, ya que el servicio sigue admitiendo todos estos protocolos. La versión mínima de TLS, aplicada en el nivel de espacio de nombres, indica cuál es la versión de TLS más baja que admite el espacio de nombres.

Pasos siguientes

Para más información, consulte la siguiente documentación.

• Configuración de la versión mínima de TLS para un espacio de nombres de Service Bus
• Configuración de Seguridad de la capa de transporte (TLS) para una aplicación cliente de Service Bus
• Uso de Azure Policy para auditar el cumplimiento de la versión mínima de TLS para un espacio de nombres de Service Bus