Framtvinga en lägsta version av TLS (Transport Layer Security) för begäranden till ett Event Hubs-namnområde

Kommunikationen mellan ett klientprogram och ett Azure Event Hubs-namnområde krypteras med hjälp av TLS (Transport Layer Security). TLS är ett kryptografiskt standardprotokoll som säkerställer sekretess och dataintegritet mellan klienter och tjänster via Internet. Mer information om TLS finns i Transport Layer Security.

Azure Event Hubs har stöd för att välja en specifik TLS-version för namnområden. För närvarande använder Azure Event Hubs TLS 1.2 på offentliga slutpunkter som standard, men TLS 1.0 och TLS 1.1 stöds fortfarande för bakåtkompatibilitet.

Med Azure Event Hubs-namnområden kan klienter skicka och ta emot data med TLS 1.0 och senare. Om du vill tillämpa strängare säkerhetsåtgärder kan du konfigurera Event Hubs-namnområdet så att klienter skickar och tar emot data med en nyare version av TLS. Om ett Event Hubs-namnområde kräver en lägsta version av TLS misslyckas alla begäranden som görs med en äldre version.

Varning

Från och med den 28 februari 2025 stöds inte längre TLS 1.0 och TLS 1.1 på Azure Event Hubs. Den lägsta TLS-versionen är 1.2 för alla Event Hubs-distributioner.

Viktigt!

Den 31 oktober 2024 aktiveras TLS 1.3 för AMQP-trafik. TLS 1.3 är redan aktiverat för Kafka- och HTTPS-trafik. Java-klienter kan ha problem med TLS 1.3 på grund av ett beroende av en äldre version av Proton-J. Mer information finns i Java-klientändringar för att stödja TLS 1.3 med Azure Service Bus och Azure Event Hubs

Viktigt!

Om du använder en tjänst som ansluter till Azure Event Hubs kontrollerar du att tjänsten använder rätt version av TLS för att skicka begäranden till Azure Event Hubs innan du anger den lägsta version som krävs för ett Event Hubs-namnområde.

Behörigheter som krävs för att kräva en lägsta version av TLS

Om du vill ange MinimumTlsVersion egenskapen för Event Hubs-namnområdet måste en användare ha behörighet att skapa och hantera Event Hubs-namnområden. Rollbaserade Azure-åtkomstkontrollroller (Azure RBAC) som ger dessa behörigheter inkluderar åtgärden Microsoft.EventHub/namespaces/write eller Microsoft.EventHub/namespaces/* . Inbyggda roller med den här åtgärden är:

• Azure Resource Manager rollen Ägare
• Azure Resource Manager rollen Deltagare
• Rollen Som Azure Event Hubs-dataägare

Rolltilldelningar måste begränsas till nivån för Event Hubs-namnområdet eller högre för att en användare ska kunna kräva en lägsta version av TLS för Event Hubs-namnområdet. Mer information om rollomfång finns i Förstå omfånget för Azure RBAC.

Var noga med att begränsa tilldelningen av dessa roller endast till dem som behöver möjligheten att skapa ett Event Hubs-namnområde eller uppdatera dess egenskaper. Använd principen om minsta behörighet för att se till att användarna har minst behörighet att utföra sina uppgifter. Mer information om hur du hanterar åtkomst med Azure RBAC finns i Metodtips för Azure RBAC.

Kommentar

De klassiska prenumerationsadministratörsrollerna Tjänstadministratör och medadministratör innehåller motsvarigheten till rollen Azure Resource Manager-ägare. Rollen Ägare innehåller alla åtgärder, så att en användare med någon av dessa administrativa roller också kan skapa och hantera Event Hubs-namnområden. Mer information finns i Azure-roller , Microsoft Entra-roller och klassiska prenumerationsadministratörsroller.

Nätverksöverväganden

När en klient skickar en begäran till ett Event Hubs-namnområde upprättar klienten först en anslutning till Event Hubs-namnområdesslutpunkten innan någon begäran bearbetas. Inställningen för lägsta TLS-version kontrolleras när TLS-anslutningen har upprättats. Om begäran använder en tidigare version av TLS än den som anges i inställningen fortsätter anslutningen att lyckas, men begäran misslyckas till slut.

Kommentar

På grund av begränsningar i confluent-biblioteket visas inte fel som kommer från en ogiltig TLS-version när du ansluter via Kafka-protokollet. I stället visas ett allmänt undantag.

Här är några viktiga saker att tänka på:

• En nätverksspårning skulle visa en lyckad etablering av en TCP-anslutning och lyckad TLS-förhandling innan en 401 returneras om den TLS-version som används är mindre än den minsta TLS-version som har konfigurerats.
• Intrång eller slutpunktsgenomsökning på yournamespace.servicebus.windows.net indikerar stöd för TLS 1.0, TLS 1.1 och TLS 1.2, eftersom tjänsten fortsätter att stödja alla dessa protokoll. Den lägsta TLS-versionen, som tillämpas på namnområdesnivå, anger vilken lägsta TLS-version som namnområdet stöder.

Nästa steg

Mer information finns i följande dokumentation.

• Konfigurera den lägsta TLS-versionen för ett Event Hubs-namnområde
• Konfigurera TLS (Transport Layer Security) för ett Event Hubs-klientprogram
• Använda Azure Policy för att granska efterlevnad av lägsta TLS-version för ett Event Hubs-namnområde