Impor uma versão mínima necessária do Transport Layer Security (TLS) para solicitações a um namespace do Service Bus
A comunicação entre um aplicativo cliente e um namespace do Barramento de Serviço do Azure é criptografada usando TLS (Transport Layer Security). O TLS é um protocolo criptográfico padrão que garante a privacidade e a integridade dos dados entre clientes e serviços pela Internet. Para obter mais informações sobre TLS, consulte Transport Layer Security.
O Azure Service Bus suporta a opção de escolher uma versão específica do TLS para espaços de nomes. De momento, o Azure Service Bus utiliza o TLS 1.2 em pontos finais públicos por predefinição, mas o TLS 1.0 e o TLS 1.1 continuam a ser suportados para retrocompatibilidade.
Os espaços de nomes do Azure Service Bus permitem que os clientes enviem e recebam dados com o TLS 1.0 e versões superiores. Para impor medidas de segurança mais apertadas, pode configurar o espaço de nomes do Service Bus para exigir aos clientes que enviem e recebam dados com uma versão mais recente do TLS. Se um espaço de nomes do Service Bus exigir uma versão mínima do TLS, todos os pedidos feitos com uma versão mais antiga irão falhar.
Importante
Se você estiver usando um serviço que se conecta ao Barramento de Serviço do Azure, verifique se o serviço está usando a versão apropriada do TLS para enviar solicitações ao Barramento de Serviço do Azure antes de definir a versão mínima necessária para um namespace do Barramento de Serviço.
Permissões necessárias para exigir uma versão mínima do TLS
Para definir a MinimumTlsVersion propriedade para o namespace do Service Bus, um usuário deve ter permissões para criar e gerenciar namespaces do Service Bus. As funções de controle de acesso baseado em função do Azure (Azure RBAC) que fornecem essas permissões incluem a ação Microsoft.ServiceBus/namespaces/write ou Microsoft.ServiceBus/namespaces/* . As funções incorporadas com esta ação incluem:
- A função de Proprietário do Azure Resource Manager
- A função de Colaborador do Azure Resource Manager
- A função Proprietário de Dados do Barramento de Serviço do Azure
As atribuições de função devem ter escopo para o nível do namespace do Service Bus ou superior para permitir que um usuário exija uma versão mínima do TLS para o namespace do Service Bus. Para obter mais informações sobre o escopo da função, consulte Entender o escopo do RBAC do Azure.
Tenha cuidado para restringir a atribuição dessas funções apenas àqueles que exigem a capacidade de criar um namespace do Service Bus ou atualizar suas propriedades. Use o princípio do menor privilégio para garantir que os usuários tenham o menor número de permissões de que precisam para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Práticas recomendadas para o RBAC do Azure.
Nota
As funções clássicas de administrador de subscrição Administrador de Serviços e Coadministrador incluem o equivalente à função de Proprietário do Azure Resource Manager. A função Proprietário inclui todas as ações, portanto, um usuário com uma dessas funções administrativas também pode criar e gerenciar namespaces do Service Bus. Para obter mais informações, consulte Funções do Azure, Funções do Microsoft Entra e funções clássicas de administrador de assinatura.
Considerações de rede
Quando um cliente envia uma solicitação para o namespace do Service Bus, o cliente estabelece uma conexão com o ponto de extremidade do namespace do Service Bus primeiro, antes de processar quaisquer solicitações. A configuração de versão mínima do TLS é verificada depois que a conexão TLS é estabelecida. Se a solicitação usar uma versão do TLS anterior à especificada pela configuração, a conexão continuará a ser bem-sucedida, mas a solicitação acabará falhando.
Nota
Devido à compatibilidade com versões anteriores, namespaces que não têm a MinimumTlsVersion configuração especificada ou especificada como 1.0, não fazemos nenhuma verificação TLS ao nos conectarmos através do protocolo SBMP.
Em 30 de setembro de 2026, desativaremos o suporte ao protocolo SBMP para o Barramento de Serviço do Azure, portanto, você não poderá mais usar esse protocolo após 30 de setembro de 2026. Migre para as bibliotecas mais recentes do SDK do Barramento de Serviço do Azure usando o protocolo AMQP, que oferecem atualizações de segurança críticas e recursos aprimorados, antes dessa data.
Para obter mais informações, consulte o anúncio de aposentadoria de suporte.
Aqui estão alguns pontos importantes a considerar:
- Um rastreamento de rede mostraria o estabelecimento bem-sucedido de uma conexão TCP e a negociação TLS bem-sucedida, antes que um 401 seja retornado se a versão TLS usada for menor que a versão mínima do TLS configurada.
- A varredura de penetração ou endpoint em
yournamespace.servicebus.windows.netindicará o suporte para TLS 1.0, TLS 1.1 e TLS 1.2, já que o serviço continua a suportar todos esses protocolos. A versão mínima do TLS, imposta no nível do namespace, indica qual a versão TLS mais baixa que o namespace suportará.
Próximos passos
Consulte a documentação a seguir para obter mais informações.