Impor uma versão mínima necessária do protocolo TLS para solicitações a um namespace dos Hubs de Eventos

A comunicação entre um aplicativo cliente e um namespace dos Hubs de Eventos do Azure é criptografada usando o protocolo TLS. O TLS é um protocolo criptográfico padrão que garante a privacidade e a integridade dos dados entre clientes e serviços pela Internet. Para obter mais informações sobre TLS, confira Protocolo TLS.

Os Hubs de Eventos do Azure dão suporte à escolha de uma versão específica do TLS para namespaces. Atualmente, os Hubs de Eventos do Azure usam o TLS 1.2 em pontos de extremidade públicos por padrão, mas ainda há suporte para TLS 1.0 e TLS 1.1 para compatibilidade com versões anteriores.

Os namespaces dos Hubs de Eventos do Azure permitem que os clientes enviem e recebam dados com o TLS 1.0 e superior. Para impor medidas de segurança mais estritas, você pode configurar seu namespace dos Hubs de Eventos para exigir que os clientes enviem e recebam dados com uma versão mais recente do TLS. Se um namespace dos Hubs de Eventos exigir uma versão mínima do TLS, todas as solicitações feitas com uma versão mais antiga falharão.

Aviso

A partir de 28 de fevereiro de 2025, o TLS 1.0 e o TLS 1.1 não terão mais suporte nos Hubs de Eventos do Azure. A versão mínima do TLS será 1.2 para todas as implantações dos Hubs de Eventos.

Importante

Em 31 de outubro de 2024, o TLS 1.3 será habilitado para o tráfego AMQP. O TLS 1.3 já está habilitado para o tráfego do Kafka e do HTTPS. Os clientes Java podem ter um problema com o TLS 1.3 devido a uma dependência de uma versão mais antiga do Proton-J. Para obter mais detalhes, leia Alterações no cliente Java para dar suporte ao TLS 1.3 com o Barramento de Serviço do Azure e os Hubs de Eventos do Azure

Importante

Se você estiver usando um serviço que se conecta aos Hubs de Eventos do Azure, verifique se o serviço está usando a versão apropriada do TLS para enviar solicitações aos Hubs de Eventos do Azure antes de definir a versão mínima necessária para um namespace dos Hubs de Eventos.

Permissões necessárias para exigir uma versão mínima do TLS

Para definir a propriedade MinimumTlsVersion para o namespace dos Hubs de Eventos, um usuário deve ter permissões para criar e gerenciar namespaces dos Hubs de Eventos. As funções de RBAC (controle de acesso baseado em função) do Azure que fornecem essas permissões incluem a ação Microsoft.EventHub/namespaces/write ou Microsoft.EventHub/namespaces/*. As funções internas com essa ação incluem:

As atribuições de função devem ser delimitadas ao nível do namespace dos Hubs de Eventos ou superior para permitir que um usuário exija uma versão mínima do TLS para o namespace dos Hubs de Eventos. Para obter mais informações sobre o escopo da função, confira Entender o escopo do RBAC do Azure.

Tenha cuidado para restringir a atribuição dessas funções somente aos que exigem a capacidade de criar um namespace dos Hubs de Eventos ou atualizar suas propriedades. Use o princípio de privilégios mínimos para garantir que os usuários tenham as menores permissões necessárias para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Melhores práticas para o RBAC do Azure.

Observação

O administrador de serviços de funções de administrador de assinatura clássica e coadministrator incluem o equivalente da função de proprietário do Azure Resource Manager. A função de Proprietário inclui todas as ações, de modo que um usuário com uma dessas funções administrativas também pode criar e gerenciar namespaces dos Hubs de Eventos. Para obter mais informações, veja Funções do Azure, funções do Microsoft Entra e funções de administrador da assinatura clássico.

Considerações de rede

Quando um cliente enviar uma solicitação para um namespace de Hubs de Eventos, o cliente estabelecerá uma conexão com o ponto de extremidade de namespace de Hubs de Eventos primeiro, antes de processar qualquer solicitação. A configuração mínima da versão TLS será verificada depois que a conexão TLS for estabelecida. Se a solicitação usar uma versão anterior do TLS do que a especificada pela configuração, a conexão continuará a ser bem-sucedida, mas a solicitação eventualmente falhará.

Observação

Devido às limitações na biblioteca confluente, os erros causados por uma versão inválida do TLS não aparecerão ao se conectar por meio do protocolo Kafka. Em vez disso, uma exceção geral será mostrada.

Veja alguns pontos importantes a serem considerados:

  • Um rastreamento de rede mostrará o estabelecimento com êxito de uma conexão TCP e uma negociação TLS com êxito, antes que um 401 seja retornado se a versão TLS utilizada for menor que a versão TLS mínima configurada.
  • A verificação de ponto de extremidade e de penetração em yournamespace.servicebus.windows.net indicará o suporte para TLS 1.0, TLS 1.1 e TLS 1.2, pois o serviço continuará dando suporte a todos esses protocolos. A versão TLS mínima, aplicada no nível do namespace, indica qual a versão TLS mais baixa que o namespace dará suporte.

Próximas etapas

Para saber mais, confira a seguinte documentação.