Een minimale vereiste versie van TLS (Transport Layer Security) afdwingen voor een Event Grid-onderwerp, -domein of -abonnement
Communicatie tussen een clienttoepassing en een Azure Grid-onderwerp, -domein of -abonnement wordt versleuteld met TLS (Transport Layer Security). Zie Transport Layer Security voor informatie over TLS in het algemeen.
Azure Event Grid biedt ondersteuning voor het kiezen van een specifieke TLS-versie voor onderwerpen, domeinen of abonnementen (wanneer u een webhookbestemming gebruikt). Azure Event Grid maakt standaard gebruik van TLS 1.2 op openbare eindpunten, maar TLS 1.0 en TLS 1.1 worden nog steeds ondersteund voor achterwaartse compatibiliteit.
Met Azure Event Grid-onderwerpen of -domeinen kunnen clients gegevens verzenden en ontvangen met TLS 1.0 en hoger. Als u strengere beveiligingsmaatregelen wilt afdwingen, kunt u uw Event Grid-onderwerp of -domein zo configureren dat clients gegevens verzenden en ontvangen met een nieuwere versie van TLS. Als een Event Grid-onderwerp of -domein een minimale versie van TLS vereist, mislukken alle aanvragen met een oudere versie.
Wanneer u een webhook-gebeurtenisabonnement maakt, kunt u dit configureren voor het gebruik van dezelfde TLS-versie als het onderwerp of expliciet de minimale TLS-versie opgeven. Als u dit doet, kan Event Grid geen gebeurtenissen leveren aan een webhook die geen ondersteuning biedt voor de minimale versie van TLS of hoger.
Belangrijk
Als de client een service is, moet u ervoor zorgen dat de service de juiste versie van TLS gebruikt om aanvragen naar Event Grid te verzenden voordat u de vereiste minimale versie voor een Event Grid-onderwerp of -domein instelt.
Machtigingen die nodig zijn om een minimale versie van TLS te vereisen
Als u de MinimumTlsVersion eigenschap voor het Event Grid-onderwerp of -domein wilt instellen, moet een gebruiker machtigingen hebben voor het maken en beheren van Event Grid-onderwerpen of -domeinen. Azure RBAC-rollen (op rollen gebaseerd toegangsbeheer) van Azure die deze machtigingen bieden, zijn onder andere de Microsoft.EventGrid/topics/write-actie of Microsoft.EventGrid/domains/write action. Ingebouwde rollen met deze actie zijn onder andere:
- De rol Eigenaar voor Azure Resource Managers
- De rol Inzender voor Azure Resource Managers
- De rol Azure Event Grid-inzender
Roltoewijzingen moeten worden afgestemd op het niveau van het Event Grid-onderwerp (of domein) of op een hoger niveau om een gebruiker toe te staan een minimale versie van TLS te vereisen voor het Event Grid-onderwerp of -domein. Zie Bereik begrijpen voor Azure RBAC voor meer informatie over rolbereik.
Wees voorzichtig met het beperken van de toewijzing van deze rollen aan degenen die de mogelijkheid nodig hebben om een Event Grid-onderwerp of -domein te maken, of de eigenschappen ervan bij te werken. Gebruik het principe van minimale bevoegdheden om ervoor te zorgen dat gebruikers de minste machtigingen hebben die ze nodig hebben om hun taken uit te voeren. Zie Best practices voor Azure RBAC voor meer informatie over het beheren van toegang met Azure RBAC.
Notitie
De klassieke abonnementsbeheerdersrollen Service Beheer istrator en Co-Beheer istrator bevatten het equivalent van de rol Azure Resource Manager-eigenaar. De rol Eigenaar bevat alle acties, zodat een gebruiker met een van deze beheerdersrollen ook Event Grid-onderwerpen of -domeinen kan maken en beheren. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.
Overwegingen voor het netwerk
Wanneer een client een aanvraag verzendt naar een Event Grid-onderwerp of -domein, brengt de client eerst een verbinding tot stand met het Event Grid-onderwerp of domeineindpunt voordat deze aanvragen worden verwerkt. De minimale TLS-versie-instelling wordt gecontroleerd nadat de TLS-verbinding tot stand is gebracht. Als de aanvraag een eerdere versie van TLS gebruikt dan die is opgegeven door de instelling, blijft de verbinding slagen, maar mislukt de aanvraag uiteindelijk.
Hier volgen enkele belangrijke punten om rekening mee te houden:
- Een netwerktracering toont de geslaagde instelling van een TCP-verbinding en een geslaagde TLS-onderhandeling, voordat een 401 wordt geretourneerd als de gebruikte TLS-versie kleiner is dan de minimale TLS-versie die is geconfigureerd.
- Het scannen op penetratie of eindpunten
<TOPICorDOMAIN>.<REGION>.eventgrid.azure.netgeeft de ondersteuning voor TLS 1.0, TLS 1.1 en TLS 1.2 aan, omdat de service al deze protocollen blijft ondersteunen. De minimale TLS-versie, afgedwongen op onderwerp- of domeinniveau, geeft aan wat de laagste TLS-versie is die door het onderwerp of domein wordt ondersteund.
Volgende stappen
Zie het volgende artikel voor meer informatie: De minimale TLS-versie configureren voor een Event Grid-onderwerp of -domein