Delen via


Een minimaal vereiste versie van Tls (Transport Layer Security) afdwingen voor aanvragen naar een Event Hubs-naamruimte

Communicatie tussen een clienttoepassing en een Azure Event Hubs-naamruimte wordt versleuteld met tls (Transport Layer Security). TLS is een standaardcryptografieprotocol waarmee privacy en gegevensintegriteit tussen clients en services via internet worden gegarandeerd. Zie Transport Layer Security voor meer informatie over TLS.

Azure Event Hubs ondersteunt het kiezen van een specifieke TLS-versie voor naamruimten. Azure Event Hubs maakt standaard gebruik van TLS 1.2 op openbare eindpunten, maar TLS 1.0 en TLS 1.1 worden nog steeds ondersteund voor achterwaartse compatibiliteit.

Met Azure Event Hubs-naamruimten kunnen clients gegevens verzenden en ontvangen met TLS 1.0 en hoger. Als u strengere beveiligingsmaatregelen wilt afdwingen, kunt u uw Event Hubs-naamruimte zo configureren dat clients gegevens verzenden en ontvangen met een nieuwere versie van TLS. Als voor een Event Hubs-naamruimte een minimale versie van TLS is vereist, mislukken aanvragen met een oudere versie.

Waarschuwing

Vanaf 28 februari 2025 worden TLS 1.0 en TLS 1.1 niet meer ondersteund in Azure Event Hubs. De minimale TLS-versie is 1.2 voor alle Event Hubs-implementaties.

Belangrijk

Op 31 oktober 2024 wordt TLS 1.3 ingeschakeld voor AMQP-verkeer. TLS 1.3 is al ingeschakeld voor Kafka- en HTTPS-verkeer. Java-clients kunnen een probleem hebben met TLS 1.3 vanwege een afhankelijkheid van een oudere versie van Proton-J. Lees voor meer informatie java-clientwijzigingen ter ondersteuning van TLS 1.3 met Azure Service Bus en Azure Event Hubs

Belangrijk

Als u een service gebruikt die verbinding maakt met Azure Event Hubs, moet u ervoor zorgen dat de service de juiste versie van TLS gebruikt om aanvragen naar Azure Event Hubs te verzenden voordat u de vereiste minimale versie voor een Event Hubs-naamruimte instelt.

Machtigingen die nodig zijn om een minimale versie van TLS te vereisen

Als u de MinimumTlsVersion eigenschap voor de Event Hubs-naamruimte wilt instellen, moet een gebruiker machtigingen hebben om Event Hubs-naamruimten te maken en te beheren. Rollen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) die deze machtigingen bieden, omvatten de actie Microsoft.EventHub/namespaces/write of Microsoft.EventHub/namespaces/* . Ingebouwde rollen met deze actie zijn onder andere:

Roltoewijzingen moeten worden toegewezen aan het niveau van de Event Hubs-naamruimte of hoger om een gebruiker toe te staan een minimale versie van TLS te vereisen voor de Event Hubs-naamruimte. Zie Bereik begrijpen voor Azure RBAC voor meer informatie over rolbereik.

Wees voorzichtig met het beperken van de toewijzing van deze rollen aan degenen die de mogelijkheid nodig hebben om een Event Hubs-naamruimte te maken of de eigenschappen ervan bij te werken. Gebruik het principe van minimale bevoegdheden om ervoor te zorgen dat gebruikers de minste machtigingen hebben die ze nodig hebben om hun taken uit te voeren. Zie Best practices voor Azure RBAC voor meer informatie over het beheren van toegang met Azure RBAC.

Notitie

De klassieke abonnementsbeheerdersrollen Servicebeheerder en Medebeheerder bevatten het equivalent van de rol Azure Resource Manager-eigenaar. De rol Eigenaar bevat alle acties, zodat een gebruiker met een van deze beheerdersrollen ook Event Hubs-naamruimten kan maken en beheren. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.

Overwegingen voor het netwerk

Wanneer een client een aanvraag naar een Event Hubs-naamruimte verzendt, brengt de client eerst een verbinding tot stand met het Event Hubs-naamruimte-eindpunt voordat deze aanvragen worden verwerkt. De minimale TLS-versie-instelling wordt gecontroleerd nadat de TLS-verbinding tot stand is gebracht. Als de aanvraag een eerdere versie van TLS gebruikt dan die is opgegeven door de instelling, blijft de verbinding slagen, maar mislukt de aanvraag uiteindelijk.

Notitie

Vanwege beperkingen in de confluent-bibliotheek worden fouten die afkomstig zijn van een ongeldige TLS-versie niet weergegeven wanneer er verbinding wordt gemaakt via het Kafka-protocol. In plaats daarvan wordt een algemene uitzondering weergegeven.

Hier volgen enkele belangrijke punten om rekening mee te houden:

  • Een netwerktracering toont de geslaagde instelling van een TCP-verbinding en een geslaagde TLS-onderhandeling, voordat een 401 wordt geretourneerd als de gebruikte TLS-versie kleiner is dan de minimale TLS-versie die is geconfigureerd.
  • Het scannen op penetratie of eindpunten yournamespace.servicebus.windows.net geeft de ondersteuning voor TLS 1.0, TLS 1.1 en TLS 1.2 aan, omdat de service al deze protocollen blijft ondersteunen. De minimale TLS-versie, afgedwongen op naamruimteniveau, geeft aan wat de laagste TLS-versie die door de naamruimte wordt ondersteund.

Volgende stappen

Zie de volgende documentatie voor meer informatie.