Wymuszanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla żądań do przestrzeni nazw usługi Service Bus

Komunikacja między aplikacją kliencką a przestrzenią nazw usługi Azure Service Bus jest szyfrowana przy użyciu protokołu Transport Layer Security (TLS). TLS to standardowy protokół kryptograficzny, który zapewnia prywatność i integralność danych między klientami i usługami przez Internet. Aby uzyskać więcej informacji na temat protokołu TLS, zobacz Transport Layer Security.

Usługa Azure Service Bus obsługuje wybieranie określonej wersji protokołu TLS dla przestrzeni nazw. Obecnie usługa Azure Service Bus domyślnie używa protokołu TLS 1.2 w publicznych punktach końcowych, ale protokoły TLS 1.0 i TLS 1.1 są nadal obsługiwane w celu zapewnienia zgodności z poprzednimi wersjami.

Przestrzenie nazw usługi Azure Service Bus umożliwiają klientom wysyłanie i odbieranie danych przy użyciu protokołu TLS 1.0 lub nowszego. Aby wymusić ostrzejsze środki zabezpieczeń, możesz skonfigurować przestrzeń nazw usługi Service Bus tak, aby wymagać od klientów wysyłania i odbierania danych przy użyciu nowszej wersji protokołu TLS. Jeśli przestrzeń nazw usługi Service Bus wymaga minimalnej wersji protokołu TLS, wszystkie żądania wysyłane za pomocą starszej wersji zakończą się niepowodzeniem.

Ważne

Jeśli używasz usługi łączącej się z usługą Azure Service Bus, upewnij się, że usługa używa odpowiedniej wersji protokołu TLS do wysyłania żądań do usługi Azure Service Bus przed ustawieniem wymaganej minimalnej wersji dla przestrzeni nazw usługi Service Bus.

Uprawnienia niezbędne do wymagania minimalnej wersji protokołu TLS

Aby ustawić MinimumTlsVersion właściwość dla przestrzeni nazw usługi Service Bus, użytkownik musi mieć uprawnienia do tworzenia przestrzeni nazw usługi Service Bus i zarządzania nimi. Role kontroli dostępu opartej na rolach (RBAC) platformy Azure, które zapewniają te uprawnienia, obejmują akcję Microsoft.ServiceBus/namespaces/write lub Microsoft.ServiceBus/namespaces/* . Wbudowane role z tą akcją obejmują:

• Rola właściciela w usłudze Azure Resource Manager
• Rola kontrybutora w usłudze Azure Resource Manager
• Rola właściciela danych usługi Azure Service Bus

Przypisania ról muszą być ograniczone do poziomu przestrzeni nazw usługi Service Bus lub nowszej, aby umożliwić użytkownikowi wymaganie minimalnej wersji protokołu TLS dla przestrzeni nazw usługi Service Bus. Aby uzyskać więcej informacji na temat zakresu ról, zobacz Zrozumienie zakresu dla Azure RBAC.

Należy zachować ostrożność, aby ograniczyć przypisywanie tych ról tylko do tych, którzy wymagają możliwości utworzenia przestrzeni nazw usługi Service Bus lub zaktualizowania jej właściwości. Użyj zasady najniższych uprawnień, aby upewnić się, że użytkownicy mają najmniejsze uprawnienia, których potrzebują do wykonania swoich zadań. Aby uzyskać więcej informacji na temat zarządzania dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.

Uwaga

Role klasycznego administratora subskrypcji Administrator usługi i Współadministrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel zawiera wszystkie akcje, więc użytkownik z jedną z tych ról administracyjnych może również tworzyć przestrzenie nazw usługi Service Bus i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Kwestie dotyczące sieci

Gdy klient wysyła żądanie do przestrzeni nazw usługi Service Bus, klient ustanawia najpierw połączenie z punktem końcowym przestrzeni nazw usługi Service Bus przed przetworzeniem żądań. Minimalne ustawienie wersji protokołu TLS jest sprawdzane po nawiązaniu połączenia TLS. Jeśli żądanie używa wcześniejszej wersji protokołu TLS niż określona przez ustawienie, połączenie będzie nadal działać pomyślnie, ale żądanie ostatecznie zakończy się niepowodzeniem.

Uwaga

Ze względu na zgodność z poprzednimi wersjami, w przypadku przestrzeni nazw, które nie mają określonego ustawienia MinimumTlsVersion lub mają określone jako 1.0, nie przeprowadzamy żadnych kontroli TLS podczas nawiązywania połączenia za pośrednictwem protokołu SBMP.

30 września 2026 r. wycofamy obsługę protokołu SBMP dla usługi Azure Service Bus, więc nie będzie można już używać tego protokołu po 30 września 2026 r. Przeprowadź migrację do najnowszych bibliotek zestawu SDK usługi Azure Service Bus przy użyciu protokołu AMQP, który oferuje krytyczne aktualizacje zabezpieczeń i ulepszone możliwości przed tą datą.

Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu pomocy technicznej.

Oto kilka ważnych kwestii, które należy wziąć pod uwagę:

• Ślad sieciowy pokazuje pomyślne utworzenie połączenia TCP i pomyślne negocjowanie protokołu TLS, zanim zostanie zwrócony błąd 401, jeśli używana wersja protokołu TLS jest mniejsza niż minimalna skonfigurowana wersja protokołu TLS.
• Skanowanie penetracyjne lub skanowanie punktu końcowego na yournamespace.servicebus.windows.net wskaże obsługę TLS 1.0, TLS 1.1 i TLS 1.2, ponieważ usługa nadal wspiera wszystkie te protokoły. Minimalna wersja protokołu TLS wymuszana na poziomie przestrzeni nazw wskazuje, jaka jest najniższa wersja protokołu TLS obsługiwana przez przestrzeń nazw.

Następne kroki

Aby uzyskać więcej informacji, zobacz następującą dokumentację.

• Konfigurowanie minimalnej wersji protokołu TLS dla przestrzeni nazw usługi Service Bus
• Użyj usługi Azure Policy do weryfikacji zgodności z minimalną wersją TLS dla przestrzeni nazw usługi Service Bus