Condividi tramite


Applicare una versione minima richiesta di Transport Layer Security (TLS) per le richieste a uno spazio dei nomi bus di servizio

La comunicazione tra un'applicazione client e uno spazio dei nomi bus di servizio di Azure viene crittografata tramite Transport Layer Security (TLS). TLS è un protocollo di crittografia standard che assicura la privacy e l'integrità dei dati tra client e servizi su Internet. Per altre informazioni su TLS, vedere Transport Layer Security.

Il bus di servizio di Azure supporta la scelta di una versione specifica di TLS per gli spazi dei nomi. Il bus di servizio di Azure usa attualmente per impostazione predefinita TLS 1.2 negli endpoint pubblici, ma TLS 1.0 e TLS 1.1 sono ancora supportati per compatibilità con le versioni precedenti.

Gli spazi dei nomi del bus di servizio di Azure consentono ai client di inviare e ricevere dati con TLS 1.0 e versioni successive. Per applicare misure di sicurezza più rigorose, puoi configurare lo spazio dei nomi del bus di servizio in modo da richiedere che i client inviino e ricevano dati con una versione più recente di TLS. Se uno spazio dei nomi del bus di servizio richiede una versione minima di TLS, eventuali richieste effettuate con una versione precedente avranno esito negativo.

Importante

Se si usa un servizio che si connette a bus di servizio di Azure, assicurarsi che il servizio usi la versione appropriata di TLS per inviare richieste a bus di servizio di Azure prima di impostare la versione minima necessaria per uno spazio dei nomi bus di servizio.

Autorizzazioni necessarie per richiedere una versione minima di TLS

Per impostare la MinimumTlsVersion proprietà per lo spazio dei nomi bus di servizio, un utente deve disporre delle autorizzazioni necessarie per creare e gestire spazi dei nomi bus di servizio. I ruoli di controllo degli accessi in base al ruolo di Azure che forniscono queste autorizzazioni includono l'azione Microsoft.ServiceBus/namespaces/write o Microsoft.ServiceBus/namespaces/* . I ruoli predefiniti con questa azione includono:

Le assegnazioni di ruolo devono avere come ambito il livello dello spazio dei nomi bus di servizio o superiore per consentire a un utente di richiedere una versione minima di TLS per lo spazio dei nomi bus di servizio. Per altre informazioni sull'ambito del ruolo, vedere Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Prestare attenzione a limitare l'assegnazione di questi ruoli solo a coloro che richiedono la possibilità di creare uno spazio dei nomi bus di servizio o di aggiornarne le proprietà. Usare il principio dei privilegi minimi per assicurarsi che gli utenti dispongano delle autorizzazioni più poche necessarie per eseguire le attività. Per altre informazioni sulla gestione dell'accesso con il controllo degli accessi in base al ruolo di Azure, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

Nota

I ruoli di amministratore della sottoscrizione classica Service Amministrazione istrator e Co-Amministrazione istrator includono l'equivalente del ruolo proprietario di Azure Resource Manager. Il ruolo Proprietario include tutte le azioni, quindi un utente con uno di questi ruoli amministrativi può anche creare e gestire bus di servizio spazi dei nomi. Per altre informazioni, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.

Considerazioni per la rete

Quando un client invia una richiesta a bus di servizio spazio dei nomi, il client stabilisce una connessione con l'endpoint dello spazio dei nomi bus di servizio prima di elaborare le richieste. L'impostazione minima della versione TLS viene controllata dopo che è stata stabilita la connessione TLS. Se la richiesta usa una versione precedente di TLS rispetto a quella specificata dall'impostazione, la connessione continuerà a avere esito positivo, ma la richiesta avrà esito negativo.

Nota

A causa della compatibilità con le versioni precedenti, gli spazi dei nomi che non hanno l'impostazione MinimumTlsVersion specificata o l'hanno specificata come 1.0, non vengono eseguiti controlli TLS durante la connessione tramite il protocollo SBMP.

Il 30 settembre 2026 verrà ritirato il supporto del protocollo SBMP per bus di servizio di Azure, quindi non sarà più possibile usare questo protocollo dopo il 30 settembre 2026. Eseguire la migrazione alle librerie sdk di bus di servizio di Azure più recenti usando il protocollo AMQP, che offre aggiornamenti critici della sicurezza e funzionalità migliorate prima di tale data.

Per altre informazioni, vedere l'annuncio di ritiro del supporto.

Ecco alcuni punti importanti da considerare:

  • Una traccia di rete mostra la corretta creazione di una connessione TCP e la negoziazione TLS riuscita, prima che venga restituita una versione 401 se la versione TLS usata è inferiore alla versione minima di TLS configurata.
  • La penetrazione o l'analisi degli endpoint in yournamespace.servicebus.windows.net indicherà il supporto per TLS 1.0, TLS 1.1 e TLS 1.2, perché il servizio continua a supportare tutti questi protocolli. La versione minima di TLS, applicata a livello di spazio dei nomi, indica la versione tls più bassa supportata dallo spazio dei nomi.

Passaggi successivi

Per altre informazioni, vedere la documentazione seguente.