Настройка минимальной версии TLS для пространства имен Центров событий

В пространстве имен Центров событий Azure клиентам разрешается отправлять и получать данные с использованием протокола TLS 1.0 и последующих версий. Чтобы обеспечить более строгие меры безопасности, можно настроить пространство имен Центров событий таким образом, чтобы клиенты отправляли и получали данные с помощью более новой версии TLS. Если в пространстве имен Центров событий настроено требование минимальной версии TLS, все запросы, созданные с использованием более старой версии, будут завершаться ошибкой. Общие сведения об этой возможности см. в статье Настройка минимально требуемой версии протокола TLS для запросов к пространству имен Центров событий.

Минимальную версию TLS можно настроить с помощью портала Azure или шаблона Azure Resource Manager (ARM).

Указание минимальной версии TLS на портале Azure

Минимальную версию TLS можно указать при создании пространства имен Центров событий на вкладке Дополнительно портала Azure.

Можно также указать минимальную версию TLS для существующего пространства имен на странице Конфигурация.

Создание шаблона для настройки минимальной версии TLS

Чтобы настроить минимальную версию TLS для пространства имен Центров событий с помощью шаблона, создайте шаблон со свойством MinimumTlsVersion, для которого задано значение 1.0, 1.1 или 1.2. При создании пространства имен Центров событий с шаблоном Azure Resource Manager свойство MinimumTlsVersion по умолчанию имеет значение 1.2, если явно не задана другая версия.

Примечание

Пространства имен, созданные с помощью версии API до 2022-01-01-preview, будут иметь значение 1.0 для MinimumTlsVersion. Это поведение раньше было настроено по умолчанию и сохраняется для обратной совместимости.

Ниже показано, как это сделать с помощью шаблона на портале Microsoft Azure.

1. На портале Azure щелкните Создать ресурс.

2. В поле поиска в Marketplace введите пользовательское развертывание и нажмите клавишу ВВОД.

3. Выберите Пользовательское развертывание (развернуть с помощью пользовательских шаблонов) (предварительная версия), нажмите кнопку Создать, а затем выберите Создать собственный шаблон в редакторе.

4. В редакторе шаблонов вставьте следующий код JSON, чтобы создать новое пространство имен и задать для минимальной версии TLS значение TLS 1.2. Не забудьте заменить заполнители в угловых скобках собственными значениями.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "eventHubNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
       },
       "resources": [
           {
           "name": "[variables('eventHubNamespaceName')]",
           "type": "Microsoft.EventHub/namespaces",
           "apiVersion": "2022-01-01-preview",
           "location": "westeurope",
           "properties": {
               "minimumTlsVersion": "1.2"
           },
           "dependsOn": [],
           "tags": {}
           }
       ]
   }
   

5. при сохранении шаблона;

6. Укажите параметр группы ресурсов, а затем нажмите кнопку Проверка и создание, чтобы развернуть шаблон и создать пространство имен с настроенным свойством MinimumTlsVersion.

Примечание

После обновления минимальной версии TLS для пространства имен Центров событий может потребоваться до 30 секунд, прежде чем изменение будет распространено в системе.

Для настройки минимальной версии TLS требуется поставщик ресурсов Центров событий Azure версии 2022-01-01-preview или более поздней.

Проверка минимальной требуемой версии TLS для пространства имен

Чтобы проверить минимальную требуемую версию TLS для пространства имен Центра событий, можно запросить API Resource Manager Azure. Вам потребуется маркер носителя для запроса к API, который можно извлечь с помощью приложения ARMClient, выполнив указанные ниже команды.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Получив маркер носителя, вы можете использовать приведенный ниже скрипт в сочетании с кодом, подобным REST Client, чтобы запросить API.

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.EventHub/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Ответ должен выглядеть примерно так, как показано ниже, а в его свойствах должен быть задан параметр minimumTlsVersion.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium",
    "capacity": 1
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.EventHub/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.EventHub/Namespaces",
  "location": "West Europe",
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": true,
    "isAutoInflateEnabled": false,
    "maximumThroughputUnits": 0,
    "kafkaEnabled": true,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Проверка использования минимальной версии TLS в клиенте

Чтобы удостовериться в том, что вызовы к пространству имен Центров событий, в которых не используется минимальная версия TLS, запрещены в настройках, можно настроить клиент на использование более старой версии протокола TLS. Дополнительные сведения о настройке клиента для использования определенной версии протокола TLS см. в статье Настройка протокола TLS для клиентского приложения.

Когда клиент обращается к пространству имен Центров событий с использованием версии TLS, которая не соответствует минимальной версии TLS, настроенной для пространства имен, Центры событий Azure возвращают код ошибки 401 (не авторизовано) и сообщение, указывающее, что использование этой версии TLS не разрешено для выполнения запросов к этому пространству имен Центров событий.

Примечание

Из-за ограничений в библиотеке confluent ошибки, связанные с недопустимой версией TLS, не будут отображаться при подключении через протокол Kafka. Вместо этого отобразится общее исключение.

Примечание

При настройке минимальной версии TLS для пространства имен Центров событий она будет применяться на уровне приложения. Инструменты, которые пытаются определить поддержку TLS на уровне протокола, могут возвращать версии TLS в дополнение к минимально необходимой версии, если они запускаются непосредственно с конечной точкой пространства имен Центров событий.

Следующие шаги

Дополнительные сведения см. в следующих руководствах.

• Настройка минимально требуемой версии протокола TLS для запросов к пространству имен Центров событий Azure
• Настройка протокола TLS для клиентского приложения Центров событий
• Использование Политики Azure для выполнения аудита на предмет соответствия требованиям по использованию минимальной версии TLS для пространства имен Центров событий