Vynucení minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Event Hubs
Komunikace mezi klientskou aplikací a oborem názvů služby Azure Event Hubs se šifruje pomocí protokolu TLS (Transport Layer Security). TLS je standardní kryptografický protokol, který zajišťuje ochranu soukromí a integritu dat mezi klienty a službami přes internet. Další informace o protokolu TLS naleznete v tématu Transport Layer Security.
Azure Event Hubs podporuje výběr konkrétní verze protokolu TLS pro obory názvů. Služba Azure Event Hubs v současné době ve výchozím nastavení používá protokol TLS 1.2 ve veřejných koncových bodech, ale kvůli zpětné kompatibilitě se stále podporuje protokol TLS 1.0 a TLS 1.1.
Obory názvů služby Azure Event Hubs umožňují klientům odesílat a přijímat data pomocí protokolu TLS 1.0 a vyšší. Pokud chcete vynutit přísnější bezpečnostní opatření, můžete nakonfigurovat obor názvů služby Event Hubs tak, aby klienti odesílali a přijímali data s novější verzí protokolu TLS. Pokud obor názvů služby Event Hubs vyžaduje minimální verzi protokolu TLS, všechny požadavky provedené ve starší verzi selžou.
Upozorňující
Od 28. února 2025 už nebudou ve službě Azure Event Hubs podporovány protokoly TLS 1.0 a TLS 1.1. Minimální verze protokolu TLS bude 1.2 pro všechna nasazení služby Event Hubs.
Důležité
Dne 31. října 2024 bude protokol TLS 1.3 povolený pro provoz AMQP. Protokol TLS 1.3 je již povolený pro provoz Kafka a HTTPS. Klienti Java mohou mít problém s protokolem TLS 1.3 kvůli závislosti na starší verzi Proton-J. Další podrobnosti najdete v článku o změnách klienta Java pro podporu protokolu TLS 1.3 se službou Azure Service Bus a azure Event Hubs.
Důležité
Pokud používáte službu, která se připojuje ke službě Azure Event Hubs, ujistěte se, že služba používá odpovídající verzi protokolu TLS k odesílání požadavků do služby Azure Event Hubs, než nastavíte požadovanou minimální verzi oboru názvů služby Event Hubs.
Oprávnění potřebná k vyžadování minimální verze protokolu TLS
Pokud chcete nastavit MinimumTlsVersion
vlastnost oboru názvů služby Event Hubs, musí mít uživatel oprávnění k vytváření a správě oborů názvů služby Event Hubs. Role řízení přístupu na základě role Azure (Azure RBAC), které poskytují tato oprávnění, zahrnují akci Microsoft.EventHub/namespaces/write nebo Microsoft.EventHub/namespaces/* . Mezi předdefinované role s touto akcí patří:
- Role vlastníka Azure Resource Manager
- Role přispěvatele Azure Resource Manager
- Role Vlastník dat služby Azure Event Hubs
Přiřazení rolí musí být vymezena na úroveň oboru názvů služby Event Hubs nebo vyšší, aby uživatel pro obor názvů služby Event Hubs vyžadoval minimální verzi protokolu TLS. Další informace o oboru role najdete v tématu Vysvětlení oboru pro Azure RBAC.
Dávejte pozor, abyste přiřazování těchto rolí omezili jenom na ty, kteří vyžadují možnost vytvořit obor názvů služby Event Hubs nebo aktualizovat jeho vlastnosti. Pomocí principu nejnižšího oprávnění se ujistěte, že uživatelé mají nejmenší oprávnění, která potřebují k plnění svých úkolů. Další informace o správě přístupu pomocí Azure RBAC najdete v tématu Osvědčené postupy pro Azure RBAC.
Poznámka:
Klasické role správce předplatného Service Administrator a Spolusprávce zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role Vlastník zahrnuje všechny akce, takže uživatel s jednou z těchto rolí pro správu může také vytvářet a spravovat obory názvů služby Event Hubs. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.
Důležité informace z hlediska využívání sítě
Když klient odešle požadavek do oboru názvů služby Event Hubs, klient nejprve vytvoří připojení ke koncovému bodu oboru názvů služby Event Hubs před zpracováním jakýchkoli požadavků. Po navázání připojení TLS se zkontroluje minimální nastavení verze protokolu TLS. Pokud požadavek používá starší verzi protokolu TLS, než která je určená nastavením, připojení bude i nadále úspěšné, ale požadavek nakonec selže.
Poznámka:
Kvůli omezením v knihovně confluent se při připojování přes protokol Kafka nezobrazí chyby pocházející z neplatné verze protokolu TLS. Místo toho se zobrazí obecná výjimka.
Tady je několik důležitých bodů, které je potřeba vzít v úvahu:
- Trasování sítě by ukázalo úspěšné vytvoření připojení TCP a úspěšné vyjednávání protokolu TLS před 401, pokud je použitá verze protokolu TLS menší než minimální nakonfigurovaná verze protokolu TLS.
- Kontrola
yournamespace.servicebus.windows.net
průniku nebo koncového bodu bude indikovat podporu protokolu TLS 1.0, TLS 1.1 a TLS 1.2, protože služba nadále podporuje všechny tyto protokoly. Minimální verze protokolu TLS vynucená na úrovni oboru názvů označuje, jakou nejnižší verzi protokolu TLS bude obor názvů podporovat.
Další kroky
Další informace najdete v následující dokumentaci.