Impor uma versão mínima necessária do protocolo TLS para um tópico, domínio ou subscrição da Grade de Eventos
A comunicação entre um aplicativo cliente e um tópico, domínio ou subscrição da Grade de Eventos é criptografada usando o protocolo TLS. Para obter informações sobre o TLS em geral, consulte Segurançada Camada de Transporte.
A Grade de Eventos do Azure dá suporte à escolha de uma versão específica do TLS para tópicos, domínios ou assinaturas (ao usar um destino do Web Hook). Atualmente, a Grade de Eventos do Azure usa o TLS 1.2 em pontos de extremidade públicos por padrão, mas ainda há suporte para TLS 1.0 e TLS 1.1 para compatibilidade com versões anteriores.
Os tópicos ou domínios da Grade de Eventos do Azure permitem que os clientes enviem e recebam dados com o TLS 1.0 e superior. Para impor medidas de segurança mais estritas, você pode configurar seu tópico ou domínio da Grade de Eventos para exigir que os clientes enviem e recebam dados com uma versão mais recente do TLS. Se um tópico ou domínio da Grade de Eventos exigir uma versão mínima do TLS, então todas as solicitações feitas com uma versão mais antiga falharão.
Ao criar uma assinatura de evento do Web Hook, você pode configurá-la para usar a mesma versão do TLS que o tópico ou especificar explicitamente a versão mínima do TLS. Se você fizer isso, a Grade de Eventos falhará ao entregar eventos a um Web Hook que não dá suporte à versão mínima do TLS ou superior.
Importante
Se o cliente for um serviço, garanta que o serviço usa a versão apropriada do TLS para enviar solicitações à Grade de Eventos antes de definir a versão mínima necessária para um tópico ou domínio da Grade de Eventos.
Permissões necessárias para exigir uma versão mínima do TLS
Para definir a propriedade MinimumTlsVersion para a tópico ou domínio da Grade de Eventos, um usuário deve ter permissões para criar e gerenciar tópicos ou domínios da Grade de Eventos. As funções de RBAC (controle de acesso baseado em função) do Azure que fornecem essas permissões incluem a ação Microsoft.EventGrid/topics/write ou Microsoft.EventGrid/domains/write. As funções internas com essa ação incluem:
- A função de Proprietário do Azure Resource Manager
- A função de Colaborador do Azure Resource Manager
- A função Colaborador da Grade de Eventos do Azure
As atribuições de função devem ser delimitadas ao nível do tópico (ou domínio) da Grade de Eventos para permitir que um usuário exija uma versão mínima do TLS para o tópico ou domínio da Grade de Eventos. Para obter mais informações sobre o escopo da função, confira Entender o escopo do RBAC do Azure.
Tenha cuidado para restringir a atribuição dessas funções somente aos que exigem a capacidade de criar um tópico ou domínio da Grade de Eventos ou atualizar suas propriedades. Use o princípio de privilégios mínimos para garantir que os usuários tenham as menores permissões necessárias para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Melhores práticas para o RBAC do Azure.
Observação
O administrador de serviço de funções de administrador de assinatura clássica e Coadministrator incluem o equivalente da função de proprietário do Azure Resource Manager. A função de Proprietário inclui todas as ações, de modo que um usuário com uma dessas funções administrativas também pode criar e gerenciar tópicos ou domínios da Grade de Eventos. Para obter mais informações, veja Funções do Azure, funções do Microsoft Entra e funções de administrador da assinatura clássico.
Considerações de rede
Quando um cliente enviar uma solicitação para um tópico ou domínio da Grade de Eventos, o cliente estabelecerá uma conexão com o ponto de extremidade do tópico ou domínio da Grade de Eventos primeiro, antes de processar qualquer solicitação. A configuração mínima da versão TLS será verificada depois que a conexão TLS for estabelecida. Se a solicitação usar uma versão anterior do TLS do que a especificada pela configuração, a conexão continuará a ser bem-sucedida, mas a solicitação eventualmente falhará.
Veja alguns pontos importantes a serem considerados:
- Um rastreamento de rede mostrará o estabelecimento com êxito de uma conexão TCP e uma negociação TLS com êxito, antes que um 401 seja retornado se a versão TLS utilizada for menor que a versão TLS mínima configurada.
- A verificação de ponto de extremidade e de penetração em
<TOPICorDOMAIN>.<REGION>.eventgrid.azure.netindicará o suporte para TLS 1.0, TLS 1.1 e TLS 1.2, pois o serviço continuará dando suporte a todos esses protocolos. A versão TLS mínima, aplicada no nível do tópico ou domínio, indica qual a versão TLS mais baixa compatível com o tópico ou domínio.
Próximas etapas
Leia artigo a seguir para mais informações: Configurar a versão mínima do TLS para um tópico ou domínio da Grade de Eventos