Erzwingen der erforderlichen TLS-Mindestversion (Transport Layer Security) für Anforderungen an einen Event Hubs-Namespace
Die Kommunikation zwischen einer Clientanwendung und einem Azure Event Hubs-Namespace wird mithilfe von TLS (Transport Layer Security) verschlüsselt. Die TLS ist ein kryptografisches Standardprotokoll, mit dem Datenschutz und Datenintegrität zwischen Clients und Diensten über das Internet sichergestellt werden. Weitere Informationen zur TLS finden Sie unter Transport Layer Security.
Azure Event Hubs unterstützt die Auswahl einer bestimmten TLS-Version für Namespaces. Derzeit verwendet Azure Event Hubs standardmäßig TLS 1.2 für öffentliche Endpunkte, aber TLS 1.0 und TLS 1.1 werden aus Gründen der Abwärtskompatibilität weiterhin unterstützt.
Azure Event Hubs-Namespaces ermöglichen Clients das Senden und Empfangen von Daten mit TLS 1.0 und höher. Wenn Sie strengere Sicherheitsmaßnahmen durchsetzen möchten, können Sie Ihren Event Hubs-Namespace so konfigurieren, dass Clients Daten mit einer neueren TLS-Version senden und empfangen müssen. Wenn für einen Event Hubs-Namespace eine TLS-Mindestversion erforderlich ist, verursachen alle Anforderungen mit einer älteren Version einen Fehler.
Warnung
Ab dem 28. Februar 2025 werden TLS 1.0 und TLS 1.1 in Azure Event Hubs nicht mehr unterstützt. Die Mindestversion von TLS ist dann 1.2 für alle Event Hubs-Bereitstellungen.
Wichtig
Am 31. Oktober 2024 wird TLS 1.3 für AMQP-Datenverkehr aktiviert. TLS 1.3 ist für Kafka- und HTTPS-Datenverkehr bereits aktiviert. Java-Clients haben möglicherweise ein Problem mit TLS 1.3 aufgrund einer Abhängigkeit von einer älteren Version von Proton-J. Ausführlichere Informationen finden Sie unter Java-Clientänderungen zur Unterstützung von TLS 1.3 mit Azure Service Bus und Azure Event Hubs.
Wichtig
Wenn Sie einen Dienst nutzen, der eine Verbindung mit Azure Event Hubs herstellt, stellen Sie sicher, dass der Dienst die entsprechende Version von TLS zum Senden von Anforderungen an Azure Event Hubs verwendet, bevor Sie die erforderliche Mindestversion für einen Event Hubs-Namespace festlegen.
Erforderliche Berechtigungen zum Anfordern einer Mindestversion von TLS
Um die MinimumTlsVersion-Eigenschaft für den Event Hubs-Namespace festzulegen, muss ein Benutzer über Berechtigungen zum Erstellen und Verwalten von Event Hubs-Namespaces verfügen. Azure RBAC-Rollen (rollenbasierte Zugriffssteuerung in Azure), die diese Berechtigungen bereitstellen, beinhalten die Aktion Microsoft.EventHub/namespaces/write oder Microsoft.EventHub/namespaces/*. In diese Aktion sind folgende Rollen integriert:
- Die Azure Resource Manager-Rolle Besitzer
- Die Azure Resource Manager-Rolle Mitwirkender
- Die Rolle Azure Event Hubs-Datenbesitzer
Rollenzuweisungen müssen auf die Ebene des Event Hubs-Namespace oder höher eingeschränkt werden, damit ein Benutzer eine Mindestversion von TLS für den Event Hubs-Namespace anfordern darf. Weitere Informationen zum Rollenbereich finden Sie unter Grundlegendes zum Bereich für Azure RBAC.
Beschränken Sie die Zuweisung dieser Rollen unbedingt auf diejenigen Benutzer, denen es möglich sein muss, einen Event Hubs-Namespace zu erstellen oder dessen Eigenschaften zu aktualisieren. Verwenden Sie das Prinzip der geringsten Rechte, um sicherzustellen, dass Benutzer die geringsten Berechtigungen haben, die sie zum Ausführen ihrer Aufgaben benötigen. Weitere Informationen zum Verwalten des Zugriffs mit Azure RBAC finden Sie unter Bewährte Methoden für Azure RBAC.
Hinweis
Die zu „Administrator für klassisches Abonnement“ gehörigen Rollen „Dienstadministrator“ und „Co-Administrator“ schließen die Entsprechung der Azure Resource Manager-Rolle Besitzer ein. Weil die Rolle Besitzer alle Aktionen einschließt, kann ein Benutzer mit einer dieser administrativen Rollen auch Event Hubs-Namespaces erstellen und verwalten. Weitere Informationen finden Sie unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements.
Überlegungen zu Netzwerken
Wenn ein Client eine Anforderung an einen Event Hubs-Namespace sendet, stellt der Client zunächst eine Verbindung mit dem Endpunkt des Event Hubs-Namespace her, ehe Anforderungen bearbeitet werden. Die Einstellung der TLS-Mindestversion wird nach dem Herstellen der TLS-Verbindung überprüft. Wenn für die Anforderung eine frühere Version von TLS als die durch die Einstellung angegebene verwendet wird, ist die Verbindung weiterhin erfolgreich, aber die Anforderung schlägt letztendlich fehl.
Hinweis
Aufgrund von Einschränkungen in der Konfluentbibliothek werden Fehler, die aufgrund einer ungültigen TLS-Version auftreten, beim Herstellen einer Verbindung über das Kafka-Protokoll nicht angezeigt. Stattdessen wird eine allgemeine Ausnahme angezeigt.
Einige wichtige zu berücksichtigende Punkte:
- Eine Netzwerkablaufverfolgung zeigt die erfolgreiche Einrichtung einer TCP-Verbindung und eine erfolgreiche TLS-Aushandlung, bevor der Fehlercode 401 zurückgegeben wird, wenn die verwendete TLS-Version niedriger als die konfigurierte TLS-Mindestversion ist.
- Eine Penetrations- oder Endpunktüberprüfung für
yournamespace.servicebus.windows.netgibt an, dass TLS 1.0, TLS 1.1 und TLS 1.2 unterstützt werden, da der Dienst alle diese Protokolle weiterhin unterstützt. Die TLS-Mindestversion, die auf Namespaceebene erzwungen wird, gibt die niedrigste Version an, die der Namespace unterstützt.
Nächste Schritte
Weitere Informationen finden Sie in der folgenden Dokumentation.