Aplicación de una versión mínima necesaria de Seguridad de la capa de transporte (TLS) para las solicitudes a un espacio de nombres de Event Hubs
La comunicación entre una aplicación cliente y una cuenta de Azure Event Hubs se cifra mediante la Seguridad de la capa de transporte (TLS). TLS es un protocolo criptográfico estándar que garantiza la privacidad y la integridad de los datos entre los clientes y los servicios a través de Internet. Para más información acerca de TLS, consulte Seguridad de la capa de transporte.
Azure Event Hubs admite la elección de una versión específica de TLS para espacios de nombres. Actualmente, Azure Event Hubs usa TLS 1.2 en puntos de conexión públicos de manera predeterminada. Sin embargo, TLS 1.0 y TLS 1.1 se siguen admitiendo gracias a la compatibilidad con versiones anteriores.
Los espacios de nombre de Azure Event Hubs permiten a los clientes enviar y recibir datos con la versión 1.0 de TLS y con versiones posteriores. Para aplicar medidas de seguridad más estrictas, puede configurar el espacio de nombres de Event Hubs para que los clientes deban enviar y recibir datos con una versión más reciente de TLS. Si el espacio de nombres de Event Hubs requiere una versión mínima de TLS, se producirá un error en todas las solicitudes realizadas con una versión anterior.
Advertencia
A partir del 28 de octubre de 2025, TLS 1.0 y TLS 1.1 ya no se admitirán en Azure Event Hubs. La versión mínima de TLS será la 1.2 para todas las implementaciones de Event Hubs.
Importante
El 31 de octubre de 2024, TLS 1.3 se habilitará para el tráfico AMQP. TLS 1.3 ya está habilitado para el tráfico de Kafka y HTTPS. Los clientes Java pueden tener un problema con TLS 1.3 debido a una dependencia de una versión anterior de Proton-J. Para más información, lea Cambios de cliente de Java para admitir TLS 1.3 con Azure Service Bus y Azure Event Hubs
Importante
Si usa un servicio que se conecta a Azure Event Hubs, asegúrese de que ese servicio use la versión adecuada de TLS para enviar solicitudes a Azure Event Hubs antes de establecer la versión mínima necesaria para un espacio de nombres de Event Hubs.
Permisos necesarios para requerir una versión mínima de TLS
Para establecer la propiedad MinimumTlsVersion para el espacio de nombres de Event Hubs, un usuario debe tener permisos para crear y administrar espacios de nombres de Event Hubs. Los roles de control de acceso basado en rol de Azure (Azure RBAC) que proporcionan estos permisos incluyen la acción Microsoft.EventHub/namespaces/write o Microsoft.EventHub/namespaces/*. Los roles integrados con esta acción incluyen:
- El rol Propietario de Azure Resource Manager
- El rol Colaborador de Azure Resource Manager
- El rol de Propietario de los datos de Azure Event Hubs
Las asignaciones de roles deben tener el ámbito del nivel del espacio de nombres de Event Hubs o superior para permitir que un usuario requiera una versión mínima de TLS para el espacio de nombres de Event Hubs. Para obtener más información sobre el ámbito de los roles, vea Comprensión del ámbito para RBAC de Azure.
Tenga cuidado de restringir la asignación de estos roles solo a aquellos usuarios que requieran la capacidad de crear un espacio de nombres de Event Hubs o actualizar sus propiedades. Use el principio de privilegios mínimos para asegurarse de que los usuarios tienen los permisos mínimos que necesitan para realizar sus tareas. Para más información sobre la administración del acceso con RBAC de Azure, consulte Procedimientos recomendados para RBAC de Azure.
Nota
Los roles clásicos de administrador de suscripciones Administrador del servicio y Coadministrador equivalen al rol Propietario de Azure Resource Manager. El rol Propietario incluye todas las acciones, por lo que un usuario con uno de estos roles administrativos también puede crear y administrar espacios de nombres de Event Hubs. Para obtener más información, consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripción clásicos .
Consideraciones sobre la red
Cuando un cliente envía una solicitud a un espacio de nombres de Event Hubs, primero establece una conexión con el punto de conexión del espacio de nombres de Event Hubs antes de procesar las solicitudes. Una vez establecida la conexión de TLS, se comprueba la configuración de la versión de TLS mínima. Si la solicitud usa una versión de TLS anterior que la especificada en la configuración, la conexión continuará correctamente, pero la solicitud producirá un error después.
Nota
Debido a las limitaciones de la biblioteca de Confluent, los errores procedentes de una versión de TLS no válida no aparecerán al conectarse a través del protocolo Kafka. En su lugar, se mostrará una excepción general.
Estos son algunos puntos importantes que se deben tener en cuenta:
- Un seguimiento de red mostraría el establecimiento correcto de una conexión TCP y una negociación TLS correcta antes de la devolución de un 401 si la versión de TLS usada es inferior a la versión mínima de TLS configurada.
- Un examen de penetración o punto de conexión en
yournamespace.servicebus.windows.netindica la compatibilidad con TLS 1.0, TLS 1.1 y TLS 1.2, ya que el servicio sigue admitiendo todos estos protocolos. La versión mínima de TLS, aplicada en el nivel de espacio de nombres, indica cuál es la versión de TLS más baja que admite el espacio de nombres.
Pasos siguientes
Para más información, consulte la siguiente documentación.
- Configuración de la versión mínima de TLS para un espacio de nombres de Event Hubs
- Configuración de Seguridad de la capa de transporte (TLS) para una aplicación cliente de Event Hubs
- Uso de Azure Policy para auditar el cumplimiento de la versión mínima de TLS para un espacio de nombres de Event Hubs