Impor uma versão mínima necessária do Transport Layer Security (TLS) para solicitações a um namespace de Hubs de Eventos

A comunicação entre um aplicativo cliente e um namespace de Hubs de Eventos do Azure é criptografada usando TLS (Transport Layer Security). O TLS é um protocolo criptográfico padrão que garante a privacidade e a integridade dos dados entre clientes e serviços pela Internet. Para obter mais informações sobre TLS, consulte Transport Layer Security.

Os Hubs de Eventos do Azure dão suporte à escolha de uma versão TLS específica para namespaces. Atualmente, os Hubs de Eventos do Azure usam o TLS 1.2 em pontos de extremidade públicos por padrão, mas o TLS 1.0 e o TLS 1.1 ainda têm suporte para compatibilidade com versões anteriores.

Os namespaces dos Hubs de Eventos do Azure permitem que os clientes enviem e recebam dados com TLS 1.0 e superior. Para impor medidas de segurança mais rigorosas, você pode configurar seu namespace de Hubs de Eventos para exigir que os clientes enviem e recebam dados com uma versão mais recente do TLS. Se um namespace de Hubs de Eventos exigir uma versão mínima do TLS, todas as solicitações feitas com uma versão mais antiga falharão.

Importante

Se você estiver usando um serviço que se conecta aos Hubs de Eventos do Azure, verifique se esse serviço está usando a versão apropriada do TLS para enviar solicitações aos Hubs de Eventos do Azure antes de definir a versão mínima necessária para um namespace de Hubs de Eventos.

Permissões necessárias para exigir uma versão mínima do TLS

Para definir a MinimumTlsVersion propriedade para o namespace Hubs de Eventos, um usuário deve ter permissões para criar e gerenciar namespaces de Hubs de Eventos. As funções de controle de acesso baseado em função do Azure (Azure RBAC) que fornecem essas permissões incluem a ação Microsoft.EventHub/namespaces/write ou Microsoft.EventHub/namespaces/* . As funções incorporadas com esta ação incluem:

• A função de Proprietário do Azure Resource Manager
• A função de Colaborador do Azure Resource Manager
• A função Proprietário de Dados dos Hubs de Eventos do Azure

As atribuições de função devem ter escopo para o nível do namespace Hubs de Eventos ou superior para permitir que um usuário exija uma versão mínima do TLS para o namespace Hubs de Eventos. Para obter mais informações sobre o escopo da função, consulte Entender o escopo do RBAC do Azure.

Tenha cuidado para restringir a atribuição dessas funções apenas àqueles que exigem a capacidade de criar um namespace de Hubs de Eventos ou atualizar suas propriedades. Use o princípio do menor privilégio para garantir que os usuários tenham o menor número de permissões de que precisam para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Práticas recomendadas para o RBAC do Azure.

Nota

As funções clássicas de administrador de subscrição Administrador de Serviços e Coadministrador incluem o equivalente à função de Proprietário do Azure Resource Manager. A função Proprietário inclui todas as ações, portanto, um usuário com uma dessas funções administrativas também pode criar e gerenciar namespaces de Hubs de Eventos. Para obter mais informações, consulte Funções do Azure, Funções do Microsoft Entra e funções clássicas de administrador de assinatura.

Considerações de rede

Quando um cliente envia uma solicitação para um namespace de Hubs de Eventos, o cliente estabelece uma conexão com o ponto de extremidade do namespace de Hubs de Eventos primeiro, antes de processar quaisquer solicitações. A configuração de versão mínima do TLS é verificada depois que a conexão TLS é estabelecida. Se a solicitação usar uma versão do TLS anterior à especificada pela configuração, a conexão continuará a ser bem-sucedida, mas a solicitação acabará falhando.

Nota

Devido a limitações na biblioteca confluente, erros provenientes de uma versão TLS inválida não aparecerão ao se conectar através do protocolo Kafka. Em vez disso, será mostrada uma exceção geral.

Aqui estão alguns pontos importantes a considerar:

• Um rastreamento de rede mostraria o estabelecimento bem-sucedido de uma conexão TCP e a negociação TLS bem-sucedida, antes que um 401 seja retornado se a versão TLS usada for menor que a versão mínima do TLS configurada.
• A varredura de penetração ou endpoint em yournamespace.servicebus.windows.net indicará o suporte para TLS 1.0, TLS 1.1 e TLS 1.2, já que o serviço continua a suportar todos esses protocolos. A versão mínima do TLS, imposta no nível do namespace, indica qual a versão TLS mais baixa que o namespace suportará.

Próximos passos

Consulte a documentação a seguir para obter mais informações.

• Configurar a versão mínima do TLS para um namespace de Hubs de Eventos
• Configurar TLS (Transport Layer Security) para um aplicativo cliente de Hubs de Eventos
• Usar a Política do Azure para auditar a conformidade da versão mínima do TLS para um namespace de Hubs de Eventos