Применение минимальной требуемой версии протокола TLS для раздела сетки событий, домена или подписки

Обмен данными между клиентским приложением и разделом Сетки Azure, доменом или подпиской шифруется с помощью TLS. Общие сведения о TLS см. в разделе "Безопасность транспортного уровня".

Сетка событий Azure поддерживает выбор определенной версии TLS для разделов, доменов или подписок (при использовании назначения веб-перехватчика). В настоящее время Сетка событий Azure использует TLS 1.2 в общедоступных конечных точках по умолчанию, но tls 1.0 и TLS 1.1 по-прежнему поддерживаются для обратной совместимости.

Сетка событий Azure разделы или домены позволяют клиентам отправлять и получать данные с помощью TLS 1.0 и более поздних версий. Чтобы применить более строгие меры безопасности, вы можете настроить раздел сетки событий или домен, чтобы клиенты отправляли и получали данные с более новой версией TLS. Если для раздела или домена сетки событий требуется минимальная версия TLS, все запросы, выполненные с более старой версией, завершаются сбоем.

При создании подписки на события веб-перехватчика ее можно настроить для использования той же версии TLS, что и в разделе, или явно указать минимальную версию TLS. Если это сделать, сетка событий не сможет доставлять события в веб-перехватчик, который не поддерживает минимальную версию TLS или выше.

Важно!

Если клиент является службой, убедитесь, что служба использует соответствующую версию TLS для отправки запросов в сетку событий, прежде чем задать необходимую минимальную версию для раздела сетки событий или домена.

Разрешения, необходимые для принудительного использования минимальной версии TLS

Чтобы задать MinimumTlsVersion свойство для раздела сетки событий или домена, пользователь должен иметь разрешения на создание разделов или доменов сетки событий и управление ими. Роли управления доступом на основе ролей Azure (Azure RBAC), предоставляющие эти разрешения, включают действие Microsoft.EventGrid/topics/write или Действие Microsoft.EventGrid/domains/write . Встроенные роли с этим действием:

• Владелец Azure Resource Manager.
• участник Azure Resource Manager;
• Роль участника Сетка событий Azure

Назначения ролей должны быть область уровня раздела сетки событий (или домена) или на более высоком уровне, чтобы разрешить пользователю требовать минимальную версию TLS для раздела сетки событий или домена. Дополнительные сведения об области роли см. в разделе Общие сведения об области для Azure RBAC.

Будьте осторожны, чтобы ограничить назначение этих ролей только тем, кто требует возможности создать раздел сетки событий или домен или обновить его свойства. Используйте принцип наименьших привилегий, чтобы предоставлять пользователям минимальный набор разрешений, необходимый для выполнения их задач. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в разделе Рекомендации по использованию Azure RBAC.

Примечание.

Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль владельца включает все действия, поэтому пользователь с одной из этих административных ролей также может создавать разделы или домены сетки событий и управлять ими. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Рекомендации по сети

Когда клиент отправляет запрос в раздел сетки событий или домен, клиент сначала устанавливает подключение к разделу сетки событий или конечной точке домена перед обработкой любых запросов. Параметр минимальной версии TLS проверяется после установки соединения TLS. Если запрос использует более раннюю версию TLS, чем указанное параметром, подключение продолжается успешно, но запрос в конечном итоге завершится ошибкой.

Ниже приведены несколько важных моментов, которые следует учитывать.

• Трассировка сети показывает успешное создание TCP-подключения и успешное согласование TLS до возврата ошибки 401, если используемая версия TLS меньше минимальной настроенной версии TLS.
• Сканирование на проникновение или конечной точки <TOPICorDOMAIN>.<REGION>.eventgrid.azure.net указывает на поддержку TLS 1.0, TLS 1.1 и TLS 1.2, так как служба продолжает поддерживать все эти протоколы. Минимальная версия TLS, применяемая на уровне раздела или домена, указывает, какая самая низкая версия TLS поддерживает раздел или домен.

Следующие шаги

Дополнительные сведения см. в следующей статье: настройка минимальной версии TLS для раздела сетки событий или домена