Een minimaal vereiste versie van Transport Layer Security (TLS) afdwingen voor aanvragen naar een Service Bus-naamruimte
Communicatie tussen een clienttoepassing en een Azure Service Bus-naamruimte wordt versleuteld met tls (Transport Layer Security). TLS is een standaardcryptografieprotocol waarmee privacy en gegevensintegriteit tussen clients en services via internet worden gegarandeerd. Zie Transport Layer Security voor meer informatie over TLS.
In Azure Service Bus wordt het kiezen van een specifieke TLS-versie voor naamruimten ondersteund. Momenteel wordt in Azure Service Bus standaard TLS 1.2 gebruikt voor openbare eindpunten. TLS 1.0 en TLS 1.1 worden echter nog steeds ondersteund voor achterwaartse compatibiliteit.
Met Azure Service Bus-naamruimten kunnen gegevens op clients worden verzonden en ontvangen met TLS 1.0 en hoger. Je kunt strengere beveiligingsmaatregelen afdwingen door je Service Bus-naamruimte zodanig te configureren dat gegevens op clients worden verzonden en ontvangen met een nieuwere versie van TLS. Als voor een Service Bus-naamruimte een minimale versie van TLS is vereist, mislukken aanvragen die zijn gemaakt met een oudere versie.
Belangrijk
Als u een service gebruikt die verbinding maakt met Azure Service Bus, moet u ervoor zorgen dat de service de juiste versie van TLS gebruikt om aanvragen naar Azure Service Bus te verzenden voordat u de vereiste minimale versie voor een Service Bus-naamruimte instelt.
Machtigingen die nodig zijn om een minimale versie van TLS te vereisen
Als u de MinimumTlsVersion
eigenschap voor de Service Bus-naamruimte wilt instellen, moet een gebruiker machtigingen hebben voor het maken en beheren van Service Bus-naamruimten. Azure RBAC-rollen (op rollen gebaseerd toegangsbeheer) van Azure die deze machtigingen bieden, omvatten de actie Microsoft.ServiceBus/namespaces/write of Microsoft.ServiceBus/namespaces/* . Ingebouwde rollen met deze actie zijn onder andere:
- De rol Azure Resource Manager-eigenaar
- De rol Azure Resource Manager-inzender
- De rol Azure Service Bus-gegevenseigenaar
Roltoewijzingen moeten worden toegewezen aan het niveau van de Service Bus-naamruimte of hoger om een gebruiker toe te staan een minimale versie van TLS te vereisen voor de Service Bus-naamruimte. Zie Bereik begrijpen voor Azure RBAC voor meer informatie over rolbereik.
Wees voorzichtig met het beperken van de toewijzing van deze rollen aan degenen die de mogelijkheid nodig hebben om een Service Bus-naamruimte te maken of de eigenschappen ervan bij te werken. Gebruik het principe van minimale bevoegdheden om ervoor te zorgen dat gebruikers de minste machtigingen hebben die ze nodig hebben om hun taken uit te voeren. Zie Best practices voor Azure RBAC voor meer informatie over het beheren van toegang met Azure RBAC.
Notitie
De klassieke abonnementsbeheerdersrollen Service Beheer istrator en Co-Beheer istrator bevatten het equivalent van de rol Azure Resource Manager-eigenaar. De rol Eigenaar bevat alle acties, zodat een gebruiker met een van deze beheerdersrollen ook Service Bus-naamruimten kan maken en beheren. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.
Overwegingen voor het netwerk
Wanneer een client een aanvraag naar de Service Bus-naamruimte verzendt, brengt de client eerst een verbinding tot stand met het Service Bus-naamruimte-eindpunt voordat deze aanvragen worden verwerkt. De minimale TLS-versie-instelling wordt gecontroleerd nadat de TLS-verbinding tot stand is gebracht. Als de aanvraag een eerdere versie van TLS gebruikt dan die is opgegeven door de instelling, blijft de verbinding slagen, maar mislukt de aanvraag uiteindelijk.
Notitie
Vanwege compatibiliteit met eerdere versies voeren naamruimten waarvoor de MinimumTlsVersion
instelling niet is opgegeven of deze hebben opgegeven als 1.0, geen TLS-controles uit wanneer er verbinding wordt gemaakt via het SBMP-protocol.
Op 30 september 2026 wordt de ondersteuning van het SBMP-protocol voor Azure Service Bus buiten gebruik gesteld, zodat u dit protocol na 30 september 2026 niet meer kunt gebruiken. Migreer naar de nieuwste Azure Service Bus SDK-bibliotheken met behulp van het AMQP-protocol, dat essentiële beveiligingsupdates en verbeterde mogelijkheden biedt, vóór die datum.
Zie de aankondiging van de buitengebruikstelling van de ondersteuning voor meer informatie.
Hier volgen enkele belangrijke punten om rekening mee te houden:
- Een netwerktracering toont de geslaagde instelling van een TCP-verbinding en een geslaagde TLS-onderhandeling, voordat een 401 wordt geretourneerd als de gebruikte TLS-versie kleiner is dan de minimale TLS-versie die is geconfigureerd.
- Het scannen op penetratie of eindpunten
yournamespace.servicebus.windows.net
geeft de ondersteuning voor TLS 1.0, TLS 1.1 en TLS 1.2 aan, omdat de service al deze protocollen blijft ondersteunen. De minimale TLS-versie, afgedwongen op naamruimteniveau, geeft aan wat de laagste TLS-versie die door de naamruimte wordt ondersteund.
Volgende stappen
Zie de volgende documentatie voor meer informatie.