Настройка минимально требуемой версии протокола TLS для запросов к пространству имен служебной шины

Для шифрования данных, пересылаемых между клиентским приложением и пространством имен служебной шины, используется протокол TLS. TLS — это стандартный протокол шифрования, обеспечивающий конфиденциальность и целостность данных, пересылаемых между клиентами и службами через Интернет. Дополнительные сведения см. в статье Протокол TLS.

Служебная шина Azure поддерживает выбор определенной версии TLS для пространств имен. В настоящее время для общедоступных конечных точек в Служебная шина Azure использует версию TLS 1.2, однако версии TLS 1.0 и TLS 1.1 также поддерживаются для обеспечения обратной совместимости.

В пространстве имен служебной шины Azure клиентам разрешается отправлять и получать данные с использованием протокола TLS 1.0 и последующих версий. Чтобы обеспечить более строгие меры безопасности, можно настроить пространство имен служебной шины таким образом, чтобы клиенты отправляли и получали данные с помощью более новой версии TLS. Если в пространстве имен служебной шины настроено требование минимальной версии TLS, все запросы, созданные с использованием более старой версии, будут завершаться ошибкой.

Важно!

Если вы используете службу, которая подключается к Служебная шина Azure, убедитесь, что служба использует соответствующую версию TLS для отправки запросов в Служебная шина Azure, прежде чем задать необходимую минимальную версию для пространства имен служебная шина.

Разрешения, необходимые для принудительного использования минимальной версии TLS

Чтобы настроить свойство MinimumTlsVersion для пространства имен служебной шины, пользователь должен иметь разрешения на создание пространств имен служебной шины и управление ими. Роли управления доступом Azure (Azure RBAC), которые обладают такими разрешениями, включают действие Microsoft.ServiceBus/namespaces/write или Microsoft.ServiceBus/namespaces/*. Встроенные роли с этим действием:

• Владелец Azure Resource Manager.
• участник Azure Resource Manager;
• Роль Владелец данных служебной шины Azure

Чтобы разрешить пользователю требовать минимальную версию TLS для пространства имен служебной шины, назначение ролей должно быть ограничено уровнем пространства имен служебной шины или выше. Дополнительные сведения об области роли см. в разделе Общие сведения об области для Azure RBAC.

Рекомендуется назначать эти роли только тем пользователям, которым необходима возможность создавать пространство имен служебной шины или обновлять его свойства. Используйте принцип наименьших привилегий, чтобы предоставлять пользователям минимальный набор разрешений, необходимый для выполнения их задач. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в разделе Рекомендации по использованию Azure RBAC.

Примечание.

Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль владельца включает в себя все действия, поэтому пользователь, которому назначена одна из этих административных ролей, также может создавать пространства имен служебной шины и управлять ими. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Рекомендации по сети

Когда клиент отправляет запрос в пространство имен служебной шины, прежде чем приступить к обработке запросов, он устанавливает соединение с конечной точкой пространства имен служебной шины. Параметр минимальной версии TLS проверяется после установки соединения TLS. Если в запросе используется более ранняя версия TLS, чем указано в параметрах, соединение будет продолжено, но запрос в конечном итоге завершится ошибкой.

Примечание.

Из-за обратной совместимости пространства имен, для которых не указан параметр MinimumTlsVersion или указана версия 1.0, при подключении по протоколу SBMP не выполняется никаких проверок версии TLS.

30 сентября 2026 года мы отставим от поддержки протокола SBMP для Служебная шина Azure, поэтому вы больше не сможете использовать этот протокол после 30 сентября 2026 года. Миграция на последние библиотеки пакета SDK Служебная шина Azure с помощью протокола AMQP, который предлагает критически важные обновления системы безопасности и улучшенные возможности до этой даты.

Дополнительные сведения см. в объявлении о выходе на пенсию в службу поддержки.

Вот несколько важных моментов, которые следует учитывать:

• Трассировка сети показывает успешное создание TCP-подключения и успешное согласование TLS до возврата ошибки 401, если используемая версия TLS меньше минимальной настроенной версии TLS.
• Сканирование на проникновение или конечной точки yournamespace.servicebus.windows.net указывает на поддержку TLS 1.0, TLS 1.1 и TLS 1.2, так как служба продолжает поддерживать все эти протоколы. Минимальная версия TLS, применяемая на уровне пространства имен, указывает, какая минимальная версия TLS будет поддерживать пространство имен.

Следующие шаги

Дополнительные сведения см. в следующей документации:

• Настройка минимальной версии TLS для пространства служебной шины
• Настройка протокола TLS для клиентского приложения служебной шины
• Использование Политики Azure для выполнения аудита на предмет соответствия требованиям по использованию минимальной версии TLS для пространства имен служебной шины