Impor uma versão mínima necessária do protocolo TLS para solicitações a um namespace dos Hubs de Eventos
A comunicação entre um aplicativo cliente e um namespace dos Hubs de Eventos do Azure é criptografada usando o protocolo TLS. O TLS é um protocolo criptográfico padrão que garante a privacidade e a integridade dos dados entre clientes e serviços pela Internet. Para obter mais informações sobre TLS, confira Protocolo TLS.
Os Hubs de Eventos do Azure dão suporte à escolha de uma versão específica do TLS para namespaces. Atualmente, os Hubs de Eventos do Azure usam o TLS 1.2 em pontos de extremidade públicos por padrão, mas ainda há suporte para TLS 1.0 e TLS 1.1 para compatibilidade com versões anteriores.
Os namespaces dos Hubs de Eventos do Azure permitem que os clientes enviem e recebam dados com o TLS 1.0 e superior. Para impor medidas de segurança mais estritas, você pode configurar seu namespace dos Hubs de Eventos para exigir que os clientes enviem e recebam dados com uma versão mais recente do TLS. Se um namespace dos Hubs de Eventos exigir uma versão mínima do TLS, todas as solicitações feitas com uma versão mais antiga falharão.
Importante
Se você estiver usando um serviço que se conecta aos Hubs de Eventos do Azure, verifique se o serviço está usando a versão apropriada do TLS para enviar solicitações aos Hubs de Eventos do Azure antes de definir a versão mínima necessária para um namespace dos Hubs de Eventos.
Permissões necessárias para exigir uma versão mínima do TLS
Para definir a propriedade MinimumTlsVersion para o namespace dos Hubs de Eventos, um usuário deve ter permissões para criar e gerenciar namespaces dos Hubs de Eventos. As funções de RBAC (controle de acesso baseado em função) do Azure que fornecem essas permissões incluem a ação Microsoft.EventHub/namespaces/write ou Microsoft.EventHub/namespaces/*. As funções internas com essa ação incluem:
- A função de Proprietário do Azure Resource Manager
- A função de Colaborador do Azure Resource Manager
- A função Proprietário de dados dos Hubs de Eventos do Azure
As atribuições de função devem ser delimitadas ao nível do namespace dos Hubs de Eventos ou superior para permitir que um usuário exija uma versão mínima do TLS para o namespace dos Hubs de Eventos. Para obter mais informações sobre o escopo da função, confira Entender o escopo do RBAC do Azure.
Tenha cuidado para restringir a atribuição dessas funções somente aos que exigem a capacidade de criar um namespace dos Hubs de Eventos ou atualizar suas propriedades. Use o princípio de privilégios mínimos para garantir que os usuários tenham as menores permissões necessárias para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Melhores práticas para o RBAC do Azure.
Observação
O administrador de serviços de funções de administrador de assinatura clássica e coadministrator incluem o equivalente da função de proprietário do Azure Resource Manager. A função de Proprietário inclui todas as ações, de modo que um usuário com uma dessas funções administrativas também pode criar e gerenciar namespaces dos Hubs de Eventos. Para obter mais informações, veja Funções do Azure, funções do Microsoft Entra e funções de administrador da assinatura clássico.
Considerações de rede
Quando um cliente enviar uma solicitação para um namespace de Hubs de Eventos, o cliente estabelecerá uma conexão com o ponto de extremidade de namespace de Hubs de Eventos primeiro, antes de processar qualquer solicitação. A configuração mínima da versão TLS será verificada depois que a conexão TLS for estabelecida. Se a solicitação usar uma versão anterior do TLS do que a especificada pela configuração, a conexão continuará a ser bem-sucedida, mas a solicitação eventualmente falhará.
Observação
Devido às limitações na biblioteca confluente, os erros causados por uma versão inválida do TLS não aparecerão ao se conectar por meio do protocolo Kafka. Em vez disso, uma exceção geral será mostrada.
Veja alguns pontos importantes a serem considerados:
- Um rastreamento de rede mostrará o estabelecimento com êxito de uma conexão TCP e uma negociação TLS com êxito, antes que um 401 seja retornado se a versão TLS utilizada for menor que a versão TLS mínima configurada.
- A verificação de ponto de extremidade e de penetração em
yournamespace.servicebus.windows.netindicará o suporte para TLS 1.0, TLS 1.1 e TLS 1.2, pois o serviço continuará dando suporte a todos esses protocolos. A versão TLS mínima, aplicada no nível do namespace, indica qual a versão TLS mais baixa que o namespace dará suporte.
Próximas etapas
Para saber mais, confira a seguinte documentação.