A Transport Layer Security (TLS) minimálisan szükséges verziójának kényszerítése az Event Hubs-névtérbe irányuló kérésekhez

Az ügyfélalkalmazás és az Azure Event Hubs-névtér közötti kommunikáció a Transport Layer Security (TLS) használatával van titkosítva. A TLS egy szabványos titkosítási protokoll, amely biztosítja az adatvédelmet és az adatintegritást az ügyfelek és szolgáltatások között az interneten. További információ a TLS-ről: Transport Layer Security.

Az Azure Event Hubs támogatja egy adott TLS-verzió kiválasztását a névterekhez. Az Azure Event Hubs jelenleg alapértelmezés szerint TLS 1.2-t használ a nyilvános végpontokon, de a TLS 1.0 és a TLS 1.1 továbbra is támogatott a visszamenőleges kompatibilitás érdekében.

Az Azure Event Hubs-névterek lehetővé teszik az ügyfelek számára az adatok küldését és fogadását a TLS 1.0-s vagy újabb verzióval. A szigorúbb biztonsági intézkedések érvényre juttatásához konfigurálhatja az Event Hubs-névteret úgy, hogy az ügyfelek a TLS újabb verziójával küldjenek és fogadjanak adatokat. Ha egy Event Hubs-névtérhez a TLS minimális verziója szükséges, akkor a régebbi verzióval küldött kérések sikertelenek lesznek.

Figyelmeztetés

2025. február 28-ától a TLS 1.0 és a TLS 1.1 már nem támogatott az Azure Event Hubsban. A minimális TLS-verzió 1.2 lesz az összes Event Hubs-üzemelő példányhoz.

Fontos

2024. október 31-én a TLS 1.3 engedélyezve lesz az AMQP-forgalom számára. A TLS 1.3 már engedélyezve van a Kafka- és HTTPS-forgalomhoz. A Java-ügyfelek a TLS 1.3-at a Proton-J régebbi verziójától való függőség miatt okozhatják. További részletekért olvassa el a Java-ügyfél módosításait, amelyek támogatják a TLS 1.3-at az Azure Service Bus és az Azure Event Hubs használatával

Fontos

Ha olyan szolgáltatást használ, amely csatlakozik az Azure Event Hubshoz, győződjön meg arról, hogy a szolgáltatás a TLS megfelelő verzióját használja a kérések Azure Event Hubsba való küldéséhez, mielőtt beállítja az Event Hubs-névtérhez szükséges minimális verziót.

A TLS minimális verziójának megköveteléséhez szükséges engedélyek

Az Event Hubs-névtér tulajdonságának beállításához MinimumTlsVersion a felhasználónak rendelkeznie kell az Event Hubs-névterek létrehozásához és kezeléséhez szükséges engedélyekkel. Az engedélyeket biztosító Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök közé tartozik a Microsoft.EventHub/namespaces/write vagy a Microsoft.EventHub/namespaces/* művelet. A művelettel beépített szerepkörök a következők:

• Az Azure Resource Manager Tulajdonos szerepköre
• Az Azure Resource Manager Hozzájáruló szerepkör
• Az Azure Event Hubs adattulajdonosi szerepköre

A szerepkör-hozzárendeléseket az Event Hubs-névtér szintjére vagy annál magasabbra kell korlátozni, hogy a felhasználó megkövetelhesse a TLS minimális verzióját az Event Hubs-névtérhez. A szerepkörök hatóköréről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.

Ügyeljen arra, hogy csak azokra korlátozza a szerepkörök hozzárendelését, akiknek szükségük van egy Event Hubs-névtér létrehozására vagy tulajdonságainak frissítésére. Használja a minimális jogosultság elvét annak biztosítására, hogy a felhasználók a legkevesebb engedéllyel rendelkezzenek a feladataik elvégzéséhez. Az Azure RBAC-hozzáférés kezelésével kapcsolatos további információkért tekintse meg az Azure RBAC ajánlott eljárásait.

Feljegyzés

A klasszikus előfizetés-rendszergazdai szerepkörök közé tartozik a Szolgáltatásadminisztrátor és a Társadminisztrátor, amely az Azure Resource Manager tulajdonosi szerepkörével egyenértékű. A tulajdonosi szerepkör minden műveletet tartalmaz, így egy ilyen rendszergazdai szerepkörrel rendelkező felhasználó is létrehozhat és kezelhet Event Hubs-névtereket. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.

Hálózati szempontok

Amikor egy ügyfél kérést küld egy Event Hubs-névtérnek, az ügyfél először kapcsolatot létesít az Event Hubs névtérvégpontjával, mielőtt bármilyen kérést feldolgoz. A TLS-kapcsolat létrejötte után a rendszer ellenőrzi a minimális TLS-verzióbeállítást. Ha a kérés a beállítás által megadottnál korábbi TLS-verziót használ, a kapcsolat továbbra is sikeres lesz, de a kérés végül meghiúsul.

Feljegyzés

A párhuzamos kódtár korlátozásai miatt az érvénytelen TLS-verzióból származó hibák nem jelennek meg a Kafka protokollon keresztüli csatlakozáskor. Ehelyett egy általános kivétel jelenik meg.

Íme néhány fontos szempont:

• A hálózati nyomkövetés a TCP-kapcsolat sikeres létrehozását és a sikeres TLS-egyeztetést mutatja, mielőtt a rendszer visszaadná a 401-es verziót, ha a használt TLS-verzió kisebb, mint a minimálisan konfigurált TLS-verzió.
• A behatolás vagy a végpont vizsgálata a yournamespace.servicebus.windows.net TLS 1.0, a TLS 1.1 és a TLS 1.2 támogatását jelzi, mivel a szolgáltatás továbbra is támogatja ezeket a protokollokat. A névtér szintjén kikényszerített minimális TLS-verzió azt jelzi, hogy a névtér melyik legalacsonyabb TLS-verzióját támogatja.

Következő lépések

További információért tekintse meg az alábbi dokumentációt.

• Event Hubs-névtér minimális TLS-verziójának konfigurálása
• Transport Layer Security (TLS) konfigurálása Event Hubs-ügyfélalkalmazáshoz
• Az Azure Policy használatával naplózhatja az Event Hubs-névtér minimális TLS-verziójának megfelelőségét