Udostępnij za pośrednictwem


Wymuszanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla żądań do przestrzeni nazw usługi Service Bus

Komunikacja między aplikacją kliencką a przestrzenią nazw usługi Azure Service Bus jest szyfrowana przy użyciu protokołu Transport Layer Security (TLS). TLS to standardowy protokół kryptograficzny, który zapewnia prywatność i integralność danych między klientami i usługami przez Internet. Aby uzyskać więcej informacji na temat protokołu TLS, zobacz Transport Layer Security.

Usługa Azure Service Bus obsługuje wybieranie określonej wersji protokołu TLS dla przestrzeni nazw. Obecnie usługa Azure Service Bus domyślnie używa protokołu TLS 1.2 w publicznych punktach końcowych, ale protokoły TLS 1.0 i TLS 1.1 są nadal obsługiwane w celu zapewnienia zgodności z poprzednimi wersjami.

Przestrzenie nazw usługi Azure Service Bus umożliwiają klientom wysyłanie i odbieranie danych przy użyciu protokołu TLS 1.0 lub nowszego. Aby wymusić ostrzejsze środki zabezpieczeń, możesz skonfigurować przestrzeń nazw usługi Service Bus tak, aby wymagać od klientów wysyłania i odbierania danych przy użyciu nowszej wersji protokołu TLS. Jeśli przestrzeń nazw usługi Service Bus wymaga minimalnej wersji protokołu TLS, wszystkie żądania wysyłane za pomocą starszej wersji zakończą się niepowodzeniem.

Ważne

Jeśli używasz usługi łączącej się z usługą Azure Service Bus, upewnij się, że usługa używa odpowiedniej wersji protokołu TLS do wysyłania żądań do usługi Azure Service Bus przed ustawieniem wymaganej minimalnej wersji dla przestrzeni nazw usługi Service Bus.

Uprawnienia niezbędne do wymagania minimalnej wersji protokołu TLS

Aby ustawić MinimumTlsVersion właściwość dla przestrzeni nazw usługi Service Bus, użytkownik musi mieć uprawnienia do tworzenia przestrzeni nazw usługi Service Bus i zarządzania nimi. Role kontroli dostępu opartej na rolach (RBAC) platformy Azure, które zapewniają te uprawnienia, obejmują akcję Microsoft.ServiceBus/namespaces/write lub Microsoft.ServiceBus/namespaces/* . Wbudowane role z tą akcją obejmują:

Przypisania ról muszą być ograniczone do poziomu przestrzeni nazw usługi Service Bus lub nowszej, aby umożliwić użytkownikowi wymaganie minimalnej wersji protokołu TLS dla przestrzeni nazw usługi Service Bus. Aby uzyskać więcej informacji na temat zakresu ról, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.

Należy zachować ostrożność, aby ograniczyć przypisywanie tych ról tylko do tych, którzy wymagają możliwości utworzenia przestrzeni nazw usługi Service Bus lub zaktualizowania jej właściwości. Użyj zasady najniższych uprawnień, aby upewnić się, że użytkownicy mają najmniejsze uprawnienia, których potrzebują do wykonania swoich zadań. Aby uzyskać więcej informacji na temat zarządzania dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.

Uwaga

Role klasycznego administratora subskrypcji Service Administracja istrator i Współ-Administracja istrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel zawiera wszystkie akcje, więc użytkownik z jedną z tych ról administracyjnych może również tworzyć przestrzenie nazw usługi Service Bus i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Kwestie dotyczące sieci

Gdy klient wysyła żądanie do przestrzeni nazw usługi Service Bus, klient ustanawia najpierw połączenie z punktem końcowym przestrzeni nazw usługi Service Bus przed przetworzeniem żądań. Minimalne ustawienie wersji protokołu TLS jest sprawdzane po nawiązaniu połączenia TLS. Jeśli żądanie używa wcześniejszej wersji protokołu TLS niż określona przez ustawienie, połączenie będzie nadal działać pomyślnie, ale żądanie ostatecznie zakończy się niepowodzeniem.

Uwaga

Ze względu na zgodność z poprzednimi wersjami przestrzenie nazw, które nie mają określonego MinimumTlsVersion ustawienia lub określono je jako 1.0, nie przeprowadzamy żadnych kontroli protokołu TLS podczas nawiązywania połączenia za pośrednictwem protokołu SBMP.

30 września 2026 r. wycofamy obsługę protokołu SBMP dla usługi Azure Service Bus, więc nie będzie można już używać tego protokołu po 30 września 2026 r. Przeprowadź migrację do najnowszych bibliotek zestawu SDK usługi Azure Service Bus przy użyciu protokołu AMQP, który oferuje krytyczne aktualizacje zabezpieczeń i ulepszone możliwości przed tą datą.

Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu pomocy technicznej.

Oto kilka ważnych kwestii, które należy wziąć pod uwagę:

  • Ślad sieciowy pokazuje pomyślne utworzenie połączenia TCP i pomyślne negocjowanie protokołu TLS, zanim zostanie zwrócony błąd 401, jeśli używana wersja protokołu TLS jest mniejsza niż minimalna skonfigurowana wersja protokołu TLS.
  • Skanowanie penetracyjne lub końcowe yournamespace.servicebus.windows.net oznacza obsługę protokołów TLS 1.0, TLS 1.1 i TLS 1.2, ponieważ usługa nadal obsługuje wszystkie te protokoły. Minimalna wersja protokołu TLS wymuszana na poziomie przestrzeni nazw wskazuje, jaka jest najniższa wersja protokołu TLS obsługiwana przez przestrzeń nazw.

Następne kroki

Aby uzyskać więcej informacji, zobacz następującą dokumentację.