Exija una versión mínima necesaria de Seguridad de la capa de transporte (TLS) para un tema, dominio o suscripción de Event Grid
La comunicación entre una aplicación cliente y un tema, dominio o suscripción de Azure Grid se cifra mediante la seguridad de la capa de transporte (TLS). Para obtener información sobre TLS en general, consulte Seguridad de la capa de transporte.
Azure Event Grid admite la elección de una versión de TLS específica para temas, dominios o suscripciones (cuando se usa un destino de Web Hook). Actualmente, Azure Event Grid usa TLS 1.2 en puntos de conexión públicos de manera predeterminada. Sin embargo, TLS 1.0 y TLS 1.1 se siguen admitiendo gracias a la compatibilidad con versiones anteriores.
Los dominios o temas de Azure Event Grid permiten a los clientes enviar y recibir datos con la versión 1.0 de TLS y con versiones posteriores. Para aplicar medidas de seguridad más estrictas, puede configurar el dominio o tema de Event Grid para que los clientes deban enviar y recibir datos con una versión más reciente de TLS. Si un dominio o tema de Event Grid requiriese una versión mínima de TLS, se producirá un error en todas las solicitudes realizadas con una versión anterior.
Al crear una suscripción de eventos de Web Hook, puede configurarla para que use la misma versión de TLS que el tema o especificar explícitamente la versión mínima de TLS. Si lo hace, Event Grid no podrá entregar eventos a un webhook que no admita la versión mínima de TLS o superior.
Importante
Si el cliente es un servicio, asegúrese de que el servicio usa la versión adecuada de TLS para enviar solicitudes a Event Grid antes de establecer la versión mínima necesaria para un tema o dominio de Event Grid.
Permisos necesarios para requerir una versión mínima de TLS
Un usuario que quiera establecer la propiedad MinimumTlsVersion
para el tema o dominio de Event Grid, deberá tener permisos para crear y administrar temas o dominios de Event Grid. Los roles de control de acceso basado en rol de Azure (Azure RBAC) que proporcionan estos permisos incluyen las acciones Microsoft.EventGrid/topics/write o Microsoft.EventGrid/domains/write. Los roles integrados con esta acción incluyen:
- El rol Propietario de Azure Resource Manager
- El rol Colaborador de Azure Resource Manager
- Rol colaborador de Azure Event Grid
Las asignaciones de roles deben tener como ámbito el nivel del tema de Event Grid (o dominio) o en un nivel superior para permitir que un usuario requiera una versión mínima de TLS para el tema o dominio de Event Grid. Para obtener más información sobre el ámbito de los roles, vea Comprensión del ámbito para RBAC de Azure.
Solo debe asignar aquellos roles que requieren la capacidad de crear un tema o dominio de Event Grid o actualizar sus propiedades. Use el principio de privilegios mínimos para asegurarse de que los usuarios tienen los permisos mínimos que necesitan para realizar sus tareas. Para más información sobre la administración del acceso con RBAC de Azure, consulte Procedimientos recomendados para RBAC de Azure.
Nota
Los roles clásicos de administrador de suscripciones Administrador del servicio y Coadministrador equivalen al rol Propietario de Azure Resource Manager. El rol Propietario incluye todas las acciones, por lo que un usuario con uno de estos roles administrativos también puede crear y administrar temas o dominios de Event Grid. Para obtener más información, consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripción clásicos .
Consideraciones sobre la red
Cuando un cliente envía una solicitud a un tema o dominio de Event Grid, el cliente establece primero una conexión con el tema de Event Grid o el punto de conexión de dominio antes de procesar las solicitudes. Una vez establecida la conexión de TLS, se comprueba la configuración de la versión de TLS mínima. Si la solicitud usa una versión de TLS anterior que la especificada en la configuración, la conexión continuará correctamente, pero la solicitud producirá un error después.
Estos son algunos puntos importantes que se deben tener en cuenta:
- Un seguimiento de red mostraría el establecimiento correcto de una conexión TCP y una negociación TLS correcta antes de la devolución de un 401 si la versión de TLS usada es inferior a la versión mínima de TLS configurada.
- Un examen de penetración o punto de conexión en
<TOPICorDOMAIN>.<REGION>.eventgrid.azure.net
indica la compatibilidad con TLS 1.0, TLS 1.1 y TLS 1.2, ya que el servicio sigue admitiendo todos estos protocolos. La versión mínima de TLS, aplicada a nivel de tema o dominio, indica cuál es la versión de TLS más baja que admite el tema o dominio.
Pasos siguientes
Consulte el siguiente artículo para obtener más información: Configuración de la versión mínima de TLS para un tema o dominio de Event Grid