Wymuszanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla żądań do przestrzeni nazw usługi Service Bus
Komunikacja między aplikacją kliencką a przestrzenią nazw usługi Azure Service Bus jest szyfrowana przy użyciu protokołu Transport Layer Security (TLS). TLS to standardowy protokół kryptograficzny, który zapewnia prywatność i integralność danych między klientami i usługami przez Internet. Aby uzyskać więcej informacji na temat protokołu TLS, zobacz Transport Layer Security.
Usługa Azure Service Bus obsługuje wybieranie określonej wersji protokołu TLS dla przestrzeni nazw. Obecnie usługa Azure Service Bus domyślnie używa protokołu TLS 1.2 w publicznych punktach końcowych, ale protokoły TLS 1.0 i TLS 1.1 są nadal obsługiwane w celu zapewnienia zgodności z poprzednimi wersjami.
Przestrzenie nazw usługi Azure Service Bus umożliwiają klientom wysyłanie i odbieranie danych przy użyciu protokołu TLS 1.0 lub nowszego. Aby wymusić ostrzejsze środki zabezpieczeń, możesz skonfigurować przestrzeń nazw usługi Service Bus tak, aby wymagać od klientów wysyłania i odbierania danych przy użyciu nowszej wersji protokołu TLS. Jeśli przestrzeń nazw usługi Service Bus wymaga minimalnej wersji protokołu TLS, wszystkie żądania wysyłane za pomocą starszej wersji zakończą się niepowodzeniem.
Ważne
Jeśli używasz usługi łączącej się z usługą Azure Service Bus, upewnij się, że usługa używa odpowiedniej wersji protokołu TLS do wysyłania żądań do usługi Azure Service Bus przed ustawieniem wymaganej minimalnej wersji dla przestrzeni nazw usługi Service Bus.
Uprawnienia niezbędne do wymagania minimalnej wersji protokołu TLS
Aby ustawić MinimumTlsVersion właściwość dla przestrzeni nazw usługi Service Bus, użytkownik musi mieć uprawnienia do tworzenia przestrzeni nazw usługi Service Bus i zarządzania nimi. Role kontroli dostępu opartej na rolach (RBAC) platformy Azure, które zapewniają te uprawnienia, obejmują akcję Microsoft.ServiceBus/namespaces/write lub Microsoft.ServiceBus/namespaces/* . Wbudowane role z tą akcją obejmują:
- Rola właściciela usługi Azure Resource Manager
- Rola Współautor usługi Azure Resource Manager
- Rola właściciela danych usługi Azure Service Bus
Przypisania ról muszą być ograniczone do poziomu przestrzeni nazw usługi Service Bus lub nowszej, aby umożliwić użytkownikowi wymaganie minimalnej wersji protokołu TLS dla przestrzeni nazw usługi Service Bus. Aby uzyskać więcej informacji na temat zakresu ról, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.
Należy zachować ostrożność, aby ograniczyć przypisywanie tych ról tylko do tych, którzy wymagają możliwości utworzenia przestrzeni nazw usługi Service Bus lub zaktualizowania jej właściwości. Użyj zasady najniższych uprawnień, aby upewnić się, że użytkownicy mają najmniejsze uprawnienia, których potrzebują do wykonania swoich zadań. Aby uzyskać więcej informacji na temat zarządzania dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.
Uwaga
Role klasycznego administratora subskrypcji Service Administracja istrator i Współ-Administracja istrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel zawiera wszystkie akcje, więc użytkownik z jedną z tych ról administracyjnych może również tworzyć przestrzenie nazw usługi Service Bus i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.
Kwestie dotyczące sieci
Gdy klient wysyła żądanie do przestrzeni nazw usługi Service Bus, klient ustanawia najpierw połączenie z punktem końcowym przestrzeni nazw usługi Service Bus przed przetworzeniem żądań. Minimalne ustawienie wersji protokołu TLS jest sprawdzane po nawiązaniu połączenia TLS. Jeśli żądanie używa wcześniejszej wersji protokołu TLS niż określona przez ustawienie, połączenie będzie nadal działać pomyślnie, ale żądanie ostatecznie zakończy się niepowodzeniem.
Uwaga
Ze względu na zgodność z poprzednimi wersjami przestrzenie nazw, które nie mają określonego MinimumTlsVersion ustawienia lub określono je jako 1.0, nie przeprowadzamy żadnych kontroli protokołu TLS podczas nawiązywania połączenia za pośrednictwem protokołu SBMP.
30 września 2026 r. wycofamy obsługę protokołu SBMP dla usługi Azure Service Bus, więc nie będzie można już używać tego protokołu po 30 września 2026 r. Przeprowadź migrację do najnowszych bibliotek zestawu SDK usługi Azure Service Bus przy użyciu protokołu AMQP, który oferuje krytyczne aktualizacje zabezpieczeń i ulepszone możliwości przed tą datą.
Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu pomocy technicznej.
Oto kilka ważnych kwestii, które należy wziąć pod uwagę:
- Ślad sieciowy pokazuje pomyślne utworzenie połączenia TCP i pomyślne negocjowanie protokołu TLS, zanim zostanie zwrócony błąd 401, jeśli używana wersja protokołu TLS jest mniejsza niż minimalna skonfigurowana wersja protokołu TLS.
- Skanowanie penetracyjne lub końcowe
yournamespace.servicebus.windows.netoznacza obsługę protokołów TLS 1.0, TLS 1.1 i TLS 1.2, ponieważ usługa nadal obsługuje wszystkie te protokoły. Minimalna wersja protokołu TLS wymuszana na poziomie przestrzeni nazw wskazuje, jaka jest najniższa wersja protokołu TLS obsługiwana przez przestrzeń nazw.
Następne kroki
Aby uzyskać więcej informacji, zobacz następującą dokumentację.
- Konfigurowanie minimalnej wersji protokołu TLS dla przestrzeni nazw usługi Service Bus
- Konfigurowanie protokołu Transport Layer Security (TLS) dla aplikacji klienckiej usługi Service Bus
- Używanie usługi Azure Policy do inspekcji pod kątem zgodności z minimalną wersją protokołu TLS dla przestrzeni nazw usługi Service Bus
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla