Configurar a versão mínima do TLS para um namespace do Barramento de Serviço

Os namespaces do Barramento de Serviço do Azure permitem que os clientes enviem e recebam dados usando o TLS 1.2 e versões posteriores. Para impor medidas de segurança mais rigorosas, você pode configurar o namespace do Barramento de Serviço para exigir que os clientes usem uma versão mais recente do TLS. Se um namespace do Barramento de Serviço exigir uma versão mínima do TLS, todas as solicitações feitas usando uma versão mais antiga falharão. Para mais informações conceituais, consulte Impor uma versão mínima necessária de Segurança da Camada de Transporte (TLS) para solicitações a um namespace do Barramento de Serviço do Azure.

Você pode configurar a versão mínima do TLS pelo portal do Azure ou o modelo d o Azure Resource Manager (ARM).

Especificar a versão mínima do TLS no portal do Azure

Você pode especificar a versão mínima do TLS ao criar um namespace do Barramento de Serviço no portal do Azure na guia Avançado.

Você também pode especificar a versão mínima do TLS para um namespace existente na página Configuração.

Usar a CLI do Azure

Para criar um namespace com a versão mínima do TLS definida como 1.3, use o az servicebus namespace create comando com --min-tls definido para 1.3.

az servicebus namespace create \
    --name mynamespace \
    --resource-group myresourcegroup \
    --min-tls 1.3

Usar PowerShell do Azure

Para criar um namespace com a versão mínima do TLS definida como 1.3, use o New-AzServiceBusNamespace comando com -MinimumTlsVersion definido para 1.3.

New-AzServiceBusNamespace `
    -ResourceGroup myresourcegroup `
    -Name mynamespace `
    -MinimumTlsVersion 1.3

Criar um modelo para configurar a versão mínima do TLS

Para configurar a versão mínima do TLS para um namespace do Barramento de Serviço, defina a propriedade da versão MinimumTlsVersion como 1.2 ou 1.3. Quando você cria um namespace do Barramento de Serviço usando um modelo do Azure Resource Manager, a propriedade MinimumTlsVersion é definida como padrão para 1.2, a menos que você a configure explicitamente para outra versão.

As etapas a seguir descrevem como criar um modelo no portal do Azure.

1. No portal do Azure, selecione Criar um recurso.
2. Em Pesquisar no Marketplace, digite implantação personalizada e pressione ENTER.
3. Selecione Implantação personalizada (implantar usando modelos personalizados) (versão prévia), selecione Criar e, em seguida, selecione Criar seu próprio modelo no editor.
4. No editor de modelos, cole o modelo a seguir para criar um novo namespace e defina a versão mínima do TLS como TLS 1.2. Não deixe de substituir os espaços reservados entre colchetes angulares pelos seus valores.

@description('Name of the Service Bus namespace')
param serviceBusNamespaceName string = 'sb${uniqueString(subscription().subscriptionId)}tls'

@description('Location for all resources.')
param location string = 'westeurope'

@allowed([
  '1.2'
  '1.3'
])
@description('Minimum TLS version')
param minimumTlsVersion string = '1.2'

resource serviceBusNamespace 'Microsoft.ServiceBus/namespaces@2024-01-01' = {
  name: serviceBusNamespaceName
  location: location
  sku: {
    name: 'Standard'
  }
  properties: {
    minimumTlsVersion: minimumTlsVersion
  }
}

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "serviceBusNamespaceName": {
            "type": "string",
            "defaultValue": "[concat(uniqueString(subscription().subscriptionId), 'tls')]",
            "metadata": {
                "description": "Name of the Service Bus namespace"
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "westeurope",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "minimumTlsVersion": {
            "type": "string",
            "defaultValue": "1.2",
            "allowedValues": [
                "1.2",
                "1.3"
            ],
            "metadata": {
                "description": "Minimum TLS version"
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.ServiceBus/namespaces",
            "apiVersion": "2024-01-01",
            "name": "[parameters('serviceBusNamespaceName')]",
            "location": "[parameters('location')]",
            "sku": {
                "name": "Standard"
            },
            "properties": {
                "minimumTlsVersion": "[parameters('minimumTlsVersion')]"
            }
        }
    ]
}

5. Salvar o modelo.
6. Especifique o parâmetro do grupo de recursos e selecione o botão Examinar + criar para implantar o modelo e criar um namespace com a MinimumTlsVersion propriedade configurada.

Configurar a versão mínima do TLS requer a versão da API 2022-01-01-visualização ou posterior do provedor de recursos do Barramento de Serviço do Azure.

Verificar a versão mínima necessária do TLS para um namespace

Para verificar a versão mínima do TLS necessária para o namespace do Barramento de Serviço, consulte a API do Azure Resource Manager. Você precisa de um token de portador para consultar a API. Recupere o token usando ARMClient e executando os comandos a seguir.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Depois de obter o token de portador, use o script a seguir junto com uma ferramenta como o Cliente REST para consultar a API.

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.ServiceBus/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

A resposta se parece com o exemplo a seguir, com o minimumTlsVersion definido nas propriedades.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium"
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ServiceBus/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.ServiceBus/Namespaces",
  "location": "West Europe",
  "tags": {},
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": false,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Versão do TLS usada por um cliente

Para testar se a versão mínima necessária do TLS para um namespace do Barramento de Serviço bloqueia chamadas que usam uma versão mais antiga, configure um cliente para usar uma versão mais antiga do TLS.

Quando um cliente acessa um namespace do Barramento de Serviço usando uma versão do TLS que não atende à versão mínima do TLS configurada para o namespace, o Barramento de Serviço do Azure retorna o código de erro 401 (Não autorizado) e uma mensagem indicando que a versão do TLS não é permitida para fazer solicitações nesse namespace do Barramento de Serviço.

Próximas etapas

Para saber mais, confira a seguinte documentação:

• Impor uma versão mínima necessária do protocolo TLS para solicitações a um namespace do Barramento de Serviço
• Usar o Azure Policy para auditar a conformidade da versão mínima do TLS para um namespace do Barramento de Serviço