Memberlakukan versi minimum Keamanan Lapisan Transportasi (TLS) yang diperlukan untuk permintaan ke namespace layanan Azure Event Hubs
Komunikasi antara aplikasi klien dan namespace layanan Azure Event Hubs dienkripsi menggunakan Keamanan Lapisan Transportasi (TLS). TLS adalah protokol kriptografi standar yang memastikan privasi dan integritas data antara klien dan layanan melalui Internet. Untuk informasi selengkapnya tentang TLS, lihat Keamanan Lapisan Transportasi.
Azure Event Hubs pemilihan versi TLS tertentu untuk namespace. Saat ini Azure Event Hubs menggunakan TLS 1.2 pada titik akhir publik secara default, tetapi TLS 1.0 dan TLS 1.1 masih didukung untuk kompatibilitas mundur.
Namespace layanan Azure Event Hubs mengizinkan klien untuk mengirim dan menerima data dengan TLS 1.0 dan yang lebih baru. Untuk menerapkan langkah-langkah keamanan yang lebih ketat, Anda dapat mengonfigurasi namespace layanan Azure Event Hubs Anda agar mewajibkan klien mengirim dan menerima data dengan versi TLS yang lebih baru. Jika namespace layanan Azure Event Hubs memerlukan versi minimum TLS, maka setiap permintaan yang dibuat dengan versi yang lebih lama akan gagal.
Penting
Jika Anda menggunakan layanan yang tersambung ke Azure Event Hubs, pastikan layanan menggunakan versi TLS yang sesuai untuk mengirim permintaan ke Azure Event Hubs sebelum Anda mengatur versi minimum yang diperlukan untuk namespace Layanan Pusat Aktivitas.
Izin yang diperlukan untuk mewajibkan versi minimum TLS
Untuk mengatur properti MinimumTlsVersion
untuk namespace layanan Azure Event Hubs, pengguna harus memiliki izin untuk membuat dan mengelola namespace layanan Azure Event Hubs. Peran kontrol akses berbasis peran Azure (Azure RBAC) yang memberikan izin ini mencakup tindakan Microsoft.EventHub/namespaces/write atau Microsoft.EventHub/namespaces/*. Peran bawaan dengan tindakan ini meliputi:
- Peran Pemilik Azure Resource Manager
- Peran Kontributor Azure Resource Manager
- Peran Pemilik Data Azure Event Hubs
Penetapan peran harus dicakup ke tingkat namespace layanan Event Hubs atau lebih tinggi untuk mengizinkan pengguna mewajibkan versi minimum TLS untuk namespace layanan Azure Event Hubs. Untuk informasi selengkapnya tentang cakupan peran, lihat Memahami cakupan Azure RBAC.
Berhati-hatilah untuk membatasi penetapan peran ini hanya untuk mereka yang memerlukan kemampuan untuk membuat namespace layanan Azure Event Hubs atau memperbarui propertinya. Gunakan prinsip hak istimewa paling sedikit untuk memastikan bahwa pengguna memiliki izin terkecil yang dibutuhkan dalam menyelesaikan tugasnya. Untuk informasi selengkapnya tentang pengelolaan akses dengan Azure RBAC, lihat Praktik terbaik untuk Azure RBAC.
Catatan
Peran administrator langganan klasik Administrator Layanan dan Administrator Bersama mencakup peran Pemilik Azure Resource Manager yang setara. Peran Pemilik mencakup semua tindakan, sehingga pengguna dengan salah satu peran administratif ini juga dapat membuat dan mengelola namespace layanan Azure Event Hubs. Untuk informasi selengkapnya, lihat Peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.
Pertimbangan jaringan
Saat klien mengirim permintaan ke namespace Event Hubs, klien membuat koneksi dengan titik akhir namespace Event Hubs terlebih dahulu, sebelum memproses permintaan apa pun. Pengaturan versi TLS minimum diperiksa setelah koneksi TLS dibuat. Jika permintaan menggunakan versi TLS yang lebih lama daripada yang ditentukan oleh pengaturan, koneksi akan tetap berhasil, namun permintaan akan gagal pada akhirnya.
Catatan
Karena keterbatasan dalam pustaka confluent, kesalahan yang berasal dari versi TLS yang tidak valid tidak akan muncul saat menyambungkan melalui protokol Kafka. Sebaliknya, pengecualian umum akan ditampilkan.
Berikut adalah beberapa poin penting yang perlu dipertimbangkan:
- Jejak jaringan akan menunjukkan keberhasilan pembentukan koneksi TCP dan negosiasi TLS yang berhasil, sebelum 401 ditampilkan jika versi TLS yang digunakan kurang dari versi TLS minimum yang dikonfigurasi.
- Pemindaian penetrasi atau titik akhir pada
yournamespace.servicebus.windows.net
akan menunjukkan dukungan untuk TLS 1.0, TLS 1.1, dan TLS 1.2, karena layanan terus mendukung semua protokol ini. Versi TLS minimum, yang diberlakukan pada tingkat namespace, menunjukkan versi TLS terendah yang akan didukung namespace layanan.
Langkah berikutnya
Lihat dokumentasi berikut untuk informasi selengkapnya.