Azure Cosmos DB'de kullanıcı kontrollü minimum TLS sürüm zorlaması

  • Şunlara uygulanır: ✅ NoSQL, ✅ MongoDB, ✅ Apache Cassandra, ✅ Apache Gremlin, ✅ Table

Bu makalede, self servis API kullanarak Cosmos DB hesabınız için Aktarım Katmanı Güvenliği (TLS) protokolünün en düşük sürümünü zorlama işlemi açıklanır.

Azure Cosmos DB'de en düşük TLS sürüm zorlaması nasıl çalışır?

Cosmos DB'nin çok kiracılı yapısı, hizmetin her kullanıcının erişim ve güvenlik gereksinimlerini karşılamasını gerektirir. Bunu başarmak için Cosmos DB, TLS'nin çalıştığı ağ yığınının alt katmanlarında değil , uygulama katmanında en düşük TLS protokollerini uygular. Müşterinin hesap üzerinde yaptığı ayarlara göre, belirli bir veritabanı hesabına yapılan her kimliği doğrulanmış istekte bu zorunluluk uygulanır.

Hizmet genelinde kabul edilen en düşük sürüm TLS 1.2'dir. Bu seçim, aşağıdaki bölümde açıklandığı gibi hesap başına temelinde değiştirilebilir.

Cosmos DB veritabanı hesabım için en düşük TLS sürümünü ayarlama

Azure Cosmos DB Kaynak Sağlayıcısı API'sinin 2022-11-15 sürümünden başlayarak, adlı minimalTlsVersionher Cosmos DB veritabanı hesabı için yeni bir özellik kullanıma sunulur. Aşağıdaki değeri kabul eder:

  • Tls12 en düşük sürümü TLS 1.2 olarak ayarlamak için

Yeni hesaplar için varsayılan değer şeklindedirTls12.

Important

TLS 1.0 ve 1.1 desteği kullanımdan kaldırıldıktan sonra 31 Ağustos 2025'den itibaren tüm Cosmos DB veritabanı hesaplarının Aktarım Katmanı Güvenliği (TLS) 1.2 veya üzerini kullanması gerekir.

31 Mart 2025 tarihinden itibaren TlS 1.3 desteği Azure Cosmos DB için etkinleştirilmiştir.

Azure portalını kullanarak en düşük TLS protokolunu ayarlama

Bu self servis özelliği, hesap oluştururken ve düzenlerken Azure portalında kullanılabilir. Azure Cosmos DB hesapları TLS 1.2 protokollerini zorunlu kıldı. Ancak Azure Cosmos DB, seçilen API türüne bağlı olarak aşağıdaki TLS protokollerini de destekler.

  • MongoDB: TLS 1.2
  • Cassandra: TLS 1.2
  • Tablo, SQL ve Graf: TLS 1.2

Hesap oluştururken en düşük TLS protokollerini ayarlama adımları

Yalnızca TLS 1.2'yi destekleyen bir API Türü kullanıyorsanız, sekmesinde TLS protokollerinin devre dışı bırakıldığını fark edersiniz.

Yalnızca TLS 1 punto 2'i destekleyen API Türünün ekran görüntüsü.

Birden çok TLS protokolü kabul eden bir API Türü kullanıyorsanız sekmesine gidebilirsiniz ve En Düşük Aktarım Katmanı Güvenlik Protokolü seçeneği kullanılabilir. Yalnızca açılan menüye tıklayıp istediğiniz protokolü seçerek seçili protokolü değiştirebilirsiniz.

Birden çok TLS protokolü kabul eden API Türünün ekran görüntüsü.

Hesabınızı ayarladıktan sonra , Gözden Geçir + oluştur sekmesinde, Ağ'ın altında seçili TLS Protokolü'nün belirttiğiniz şekilde ayarlandığını gözden geçirebilirsiniz.

Seçtiğiniz TLS Protokolü'nin belirttiğiniz şekilde ayarlandığının ekran görüntüsü.

Hesabı düzenlerken en düşük TLS protokolunu ayarlama adımları

  1. Azure portalında Azure Cosmos DB hesabınıza gidin.

  2. Kenar çubuğu menüsünden ve ardından Bağlantı sekmesini seçin.

  3. En Düşük Aktarım Katmanı Güvenlik Protokolü seçeneğini bulacaksınız. Yalnızca TLS 1.2'yi destekleyen bir API Türü kullanıyorsanız bu seçeneğin devre dışı bırakıldığını fark edersiniz. Aksi takdirde, istediğiniz TLS Protokolü'nü seçmek için üzerine tıklayabilirsiniz.

    En düşük aktarım katmanı güvenlik protokolü seçeneğinin ekran görüntüsü.

  4. TLS protokolunu değiştirdikten sonra Kaydet'i seçin.

    Değişiklikten sonra kaydet'in ekran görüntüsü.

  5. Kaydedildikten sonra bir başarı bildirimi alırsınız. Yine de yapılandırma güncelleştirmesi tamamlandıktan sonra bu değişikliğin geçerlilik kazanması 15 dakika kadar sürebilir.

    Başarı bildiriminin ekran görüntüsü.

Azure CLI aracılığıyla ayarlama

Azure CLI kullanarak ayarlamak için komutunu kullanın:

rg="myresourcegroup"
dbName="mycosmosdbaccount"
minimalTlsVersion="Tls12"
az cosmosdb update -n $dbName -g $rg --minimal-tls-version $minimalTlsVersion

Azure PowerShell aracılığıyla ayarlama

Azure PowerShell kullanarak ayarlamak için komutunu kullanın:

$minimalTlsVersion = "Tls12"
Update-AzCosmosDBAccount -ResourceGroupName myresourcegroup -Name mycosmosdbaccount -MinimalTlsVersion $minimalTlsVersion

ARM şablonu aracılığıyla ayarlama

Arm şablonu kullanarak bu özelliği ayarlamak için mevcut şablonunuzu güncelleştirin veya geçerli dağıtımınız için yeni bir şablon dışarı aktarın, ardından kaynakların özelliklerine "minimalTlsVersion" istediğiniz en düşük TLS sürüm değeriyle ekleyindatabaseAccounts. Aşağıdaki örnekte, parametre kullanarak bu özellik ayarına sahip temel bir Azure Resource Manager şablonu gösterilmektedir.

{
  "resources": [
    {
      "type": "Microsoft.DocumentDB/databaseAccounts",
      "name": "mycosmosdbaccount",
      "apiVersion": "2022-11-15",
      "location": "[parameters('location')]",
      "kind": "GlobalDocumentDB",
      "properties": {
        "consistencyPolicy": {
          "defaultConsistencyLevel": "[parameters('defaultConsistencyLevel')]",
          "maxStalenessPrefix": 1,
          "maxIntervalInSeconds": 5
        },
        "locations": "[variables('locations')]",
        "databaseAccountOfferType": "Standard",
        "minimalTlsVersion": "[parameters('minimalTlsVersion')]"
      }
    }
  ]
}

Important

Bu özelliği dahil ederken hesabınızın ve alt kaynaklarınızın diğer özelliklerini de eklediğinizden emin olmalısınız. Bu şablonu olduğu gibi dağıtmayın, aksi takdirde tüm hesap özelliklerinizi sıfırlar.

Yeni hesaplar için

Önceki ARM şablonunu veya Azure CLI veya Azure PowerShell'i kullanarak özellik kümesine sahip minimalTlsVersion hesaplar oluşturabilirsiniz:

az cosmosdb create --name <CosmosDBAccountName> \
  --resource-group <ResourceGroupName> \
  --kind GlobalDocumentDB \
  --locations regionName=<Region> \
  --minimal-tls-version "Tls12"

New-AzCosmosDBAccount `
  -ResourceGroupName "<YourResourceGroupName>" `
  -Name "<YourCosmosDBAccountName>" `
  -Location "<AzureRegion>" `
  -Kind GlobalDocumentDB `
  -EnableAutomaticFailover $true `
  -MinimalTlsVersion "Tls12"

Asgari TLS sürüm uygulamasını doğrulama

Cosmos DB uygulama katmanında en düşük TLS sürümünü zorunlu kıldığından, belirli bir TLS sürümü için el sıkışmalarının hizmet tarafından kabul edilip edilmediğini denetleyen geleneksel TLS tarayıcıları Cosmos DB'de zorlamayı test etmek için güvenilir değildir. Zorlamayı doğrulamak için resmi ve açık kaynaklı "cosmos-tls-scanner" aracını kullanın.

Azure CLI veya Azure PowerShell kullanarak özelliğin minimalTlsVersion geçerli değerini de alabilirsiniz.

Azure CLI aracılığıyla geçerli değeri alma

Azure CLI kullanarak özelliğin geçerli değerini almak için komutunu çalıştırın:

subId=$(az account show --query id -o tsv)
rg="myresourcegroup"
dbName="mycosmosdbaccount"
az rest --uri "/subscriptions/$subId/resourceGroups/$rg/providers/Microsoft.DocumentDB/databaseAccounts/$dbName?api-version=2022-11-15" --method GET

Azure PowerShell aracılığıyla geçerli değeri alma

Azure PowerShell kullanarak özelliğin geçerli değerini almak için komutunu çalıştırın:

Get-AzCosmosDBAccount -ResourceGroupName myresourcegroup -Name mycosmosdbaccount

İlgili içerik

  • Last updated on