Impor uma versão mínima necessária do TLS (Transport Layer Security) para um tópico, domínio ou assinatura da Grade de Eventos
A comunicação entre um aplicativo cliente e um tópico, domínio ou assinatura da Grade do Azure é criptografada usando TLS (Transport Layer Security). Para obter informações sobre TLS em geral, consulte Transport Layer Security.
A Grade de Eventos do Azure dá suporte à escolha de uma versão TLS específica para tópicos, domínios ou assinaturas (ao usar um destino de Gancho da Web). Atualmente, a Grade de Eventos do Azure usa o TLS 1.2 em pontos de extremidade públicos por padrão, mas o TLS 1.0 e o TLS 1.1 ainda têm suporte para compatibilidade com versões anteriores.
Os tópicos ou domínios da Grade de Eventos do Azure permitem que os clientes enviem e recebam dados com TLS 1.0 e superior. Para impor medidas de segurança mais rigorosas, você pode configurar seu tópico ou domínio da Grade de Eventos para exigir que os clientes enviem e recebam dados com uma versão mais recente do TLS. Se um tópico ou domínio da Grade de Eventos exigir uma versão mínima do TLS, todas as solicitações feitas com uma versão mais antiga falharão.
Ao criar uma assinatura de evento do Web Hook, você pode configurá-la para usar a mesma versão do TLS que o tópico ou especificar explicitamente a versão mínima do TLS. Se você fizer isso, a Grade de Eventos falhará ao entregar eventos para um Web Hook que não ofereça suporte à versão mínima do TLS ou superior.
Importante
Se o cliente for um serviço, certifique-se de que o serviço usa a versão apropriada do TLS para enviar solicitações à Grade de Eventos antes de definir a versão mínima necessária para um tópico ou domínio da Grade de Eventos.
Permissões necessárias para exigir uma versão mínima do TLS
Para definir a MinimumTlsVersion propriedade para o tópico ou domínio da Grade de Eventos, um usuário deve ter permissões para criar e gerenciar tópicos ou domínios da Grade de Eventos. As funções de controle de acesso baseado em função do Azure (Azure RBAC) que fornecem essas permissões incluem a ação Microsoft.EventGrid/topics/write ou a ação Microsoft.EventGrid/domains/write. As funções incorporadas com esta ação incluem:
- A função de Proprietário do Azure Resource Manager
- A função de Contribuidor do Azure Resource Manager
- A função de Colaborador da Grade de Eventos do Azure
As atribuições de função devem ter um escopo no nível do tópico (ou domínio) da Grade de Eventos ou em um nível mais alto para permitir que um usuário exija uma versão mínima do TLS para o tópico ou domínio da Grade de Eventos. Para obter mais informações sobre o escopo da função, consulte Entender o escopo do RBAC do Azure.
Tenha cuidado para restringir a atribuição dessas funções apenas àqueles que exigem a capacidade de criar um tópico ou domínio da Grade de Eventos ou atualizar suas propriedades. Use o princípio do menor privilégio para garantir que os usuários tenham o menor número de permissões de que precisam para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Práticas recomendadas para o RBAC do Azure.
Nota
As funções clássicas de administrador de subscrição Administrador de Serviços e Coadministrador incluem o equivalente à função de Proprietário do Azure Resource Manager. A função Proprietário inclui todas as ações, portanto, um usuário com uma dessas funções administrativas também pode criar e gerenciar tópicos ou domínios da Grade de Eventos. Para obter mais informações, consulte Funções do Azure, Funções do Microsoft Entra e funções clássicas de administrador de assinatura.
Considerações de rede
Quando um cliente envia uma solicitação para um tópico ou domínio da Grade de Eventos, o cliente estabelece uma conexão com o tópico da Grade de Eventos ou ponto de extremidade do domínio primeiro, antes de processar quaisquer solicitações. A configuração de versão mínima do TLS é verificada depois que a conexão TLS é estabelecida. Se a solicitação usar uma versão anterior do TLS que a especificada pela configuração, a conexão continuará a ser bem-sucedida, mas a solicitação acabará falhando.
Aqui estão alguns pontos importantes a considerar:
- Um rastreamento de rede mostraria o estabelecimento bem-sucedido de uma conexão TCP e a negociação TLS bem-sucedida, antes que um 401 seja retornado se a versão TLS usada for menor que a versão mínima do TLS configurada.
- A varredura de penetração ou endpoint em
<TOPICorDOMAIN>.<REGION>.eventgrid.azure.netindicará o suporte para TLS 1.0, TLS 1.1 e TLS 1.2, pois o serviço continua a suportar todos esses protocolos. A versão mínima do TLS, imposta no nível do tópico ou domínio, indica qual a versão TLS mais baixa suportada pelo tópico ou domínio.
Próximos passos
Consulte o seguinte artigo para obter mais informações: Configurar a versão mínima do TLS para um tópico ou domínio da Grade de Eventos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários