Применение минимальной требуемой версии протокола TLS для запросов к пространству имен служебной шины

Обмен данными между клиентским приложением и пространством имен служебной шины Azure шифруется с помощью TLS. TLS — это стандартный протокол шифрования, обеспечивающий конфиденциальность и целостность данных, пересылаемых между клиентами и службами через Интернет. Дополнительные сведения см. в статье Протокол TLS.

Служебная шина Azure поддерживает выбор определенной версии TLS для пространств имен. В настоящее время служебная шина Azure использует TLS 1.3 в общедоступных конечных точках по умолчанию, но tls 1.2 по-прежнему поддерживается для обратной совместимости.

Пространства имен служебной шины Azure позволяют клиентам отправлять и получать данные с помощью TLS 1.2 и более поздних версий. Чтобы обеспечить более строгие меры безопасности, можно настроить пространство имен служебной шины таким образом, чтобы клиенты отправляли и получали данные с помощью более новой версии TLS. Если в пространстве имен служебной шины настроено требование минимальной версии TLS, все запросы, созданные с использованием более старой версии, будут завершаться ошибкой.

Это важно

Если вы используете службу, которая подключается к служебной шине Azure, убедитесь, что служба использует соответствующую версию TLS для отправки запросов в служебную шину Azure, прежде чем задать необходимую минимальную версию для пространства имен служебной шины.

Разрешения, необходимые для принудительного использования минимальной версии TLS

Чтобы задать MinimumTlsVersion свойство для пространства имен служебной шины, пользователь должен иметь разрешения на создание пространств имен служебной шины и управление ими. Роли управления доступом на основе ролей Azure (Azure RBAC), предоставляющие эти разрешения, включают действие Microsoft.ServiceBus/namespaces/write или Microsoft.ServiceBus/namespaces/* . Встроенные роли, включающие это действие, включают:

• роль Владельца в Azure Resource Manager
• участник Azure Resource Manager;
• Роль владельца данных служебной шины Azure

Назначения ролей должны быть ограничены на уровне пространства имен служебной шины или выше, чтобы разрешить пользователю требовать минимальную версию TLS для пространства имен служебной шины. Дополнительные сведения об области роли см. в разделе Понимание области действия Azure RBAC.

Будьте осторожны, чтобы ограничить назначение этих ролей только тем, кто требует возможности создать пространство имен служебной шины или обновить его свойства. Используйте принцип наименьших привилегий, чтобы предоставлять пользователям минимальный набор разрешений, необходимый для выполнения их задач. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в разделе Рекомендации по использованию Azure RBAC.

Примечание.

Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль владельца включает все действия, поэтому пользователь с одной из этих административных ролей также может создавать пространства имен служебной шины и управлять ими. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Рекомендации по сети

Когда клиент отправляет запрос в пространство имен служебной шины, клиент сначала устанавливает подключение к конечной точке пространства имен служебной шины перед обработкой любых запросов. Параметр минимальной версии TLS проверяется после установки соединения TLS. Если в запросе используется более ранняя версия TLS, чем указано в параметрах, соединение будет продолжено, но запрос в конечном итоге завершится ошибкой.

Примечание.

Из-за обратной совместимости пространства имен, которые не имеют указанного MinimumTlsVersion параметра или указали это значение как 1.0, при подключении через протокол SBMP не выполняется никаких проверок TLS.

30 сентября 2026 года мы прекратим поддержку протокола SBMP для Сервисной шины Azure, поэтому вы больше не сможете использовать этот протокол после 30 сентября 2026 года. Перейдите на последние библиотеки SDK для службы Azure Service Bus, используя протокол AMQP, которые предлагают критически важные обновления безопасности и улучшенные возможности, до этой даты.

Дополнительные сведения см. в объявлении о прекращении поддержки.

Вот несколько важных моментов, которые следует учитывать:

• Трассировка сети показывает успешное создание TCP-подключения и успешное согласование TLS до возврата ошибки 401, если используемая версия TLS меньше минимальной настроенной версии TLS.
• Сканирование на проникновение или сканирование конечной точки на yournamespace.servicebus.windows.net укажет на поддержку протоколов TLS 1.2 и TLS 1.3, поскольку служба продолжает поддерживать все эти протоколы. Минимальная версия TLS, применяемая на уровне пространства имен, указывает, какая минимальная версия TLS будет поддерживать пространство имен.

Дальнейшие действия

Дополнительные сведения см. в следующей документации:

• Настройка минимальной версии TLS для пространства служебной шины
• Использование Политики Azure для выполнения аудита на предмет соответствия требованиям по использованию минимальной версии TLS для пространства имен служебной шины