Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
Banco de Dados SQL do AzureBanco de Dados SQL no Fabric
Este artigo apresenta configurações que controlam a conectividade com o servidor para o Banco de Dados SQL do Azure e o Banco de Dados SQL no Microsoft Fabric.
- Para obter mais informações sobre vários componentes que direcionam o tráfego de rede e as diretivas de conexão, consulte arquitetura de conectividade.
- Este artigo não se aplica à Instância Gerenciada SQL do Azure, em vez disso, consulte Conectar seu aplicativo à Instância Gerenciada SQL do Azure.
- Este artigo não se aplica ao Azure Synapse Analytics.
- Para obter configurações que controlam a conectividade com pools SQL dedicados no Azure Synapse Analytics, consulte configurações de conectividade do Azure Synapse Analytics.
- Para obter cadeias de conexão com pools do Azure Synapse Analytics, consulte Connect to Synapse SQL.
- Consulte as regras de firewall IP do Azure Synapse Analytics para obter orientação sobre como configurar regras de firewall IP para o Azure Synapse Analytics com espaços de trabalho.
Rede e conectividade
Você pode alterar essas configurações no servidor lógico .
Alterar o acesso à rede pública
É possível alterar o acesso à rede pública para o Banco de Dados SQL do Azure por meio do portal do Azure, do Azure PowerShell e da CLI do Azure.
Observação
Essas configurações entram em vigor imediatamente após serem aplicadas. Seus clientes podem sofrer perda de conexão se não atenderem aos requisitos de cada configuração.
Para habilitar o acesso à rede pública para o servidor lógico que hospeda seus bancos de dados:
- Vá para o portal do Azure e vá para o servidor lógico no Azure.
- No separador Segurança, selecione a página Rede.
- Escolha o separador Acesso público e, em seguida, defina o Acesso à rede pública como Selecionar redes.
Nesta página, você pode adicionar uma regra de rede virtual, bem como configurar regras de firewall para seu ponto de extremidade público.
Escolha a guia de acesso privado para configurar um ponto de extremidade privado .
Negar acesso à rede pública
O padrão para a configuração de acesso à rede pública é Desativar. Os clientes podem escolher conectar-se a uma base de dados utilizando pontos de extremidade públicos (com regras de firewall ao nível do servidor baseadas em IP ou com regras de firewall de rede virtual), ou pontos de extremidade privados (utilizando o Azure Private Link), conforme descrito na visão geral do acesso à rede .
Quando acesso à rede pública estiver definido como Desativar, só são permitidas ligações a partir de pontos de extremidade privados. Todas as conexões de pontos de extremidade públicos serão recusadas com uma mensagem de erro semelhante a:
Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.
Quando o acesso à rede pública estiver definido como Desativar, todas as tentativas de adicionar, remover ou editar quaisquer regras de firewall serão negadas com uma mensagem de erro semelhante a:
Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.
Certifique-se de que de acesso à rede Pública esteja definido como Redes selecionadas poder adicionar, remover ou editar quaisquer regras de firewall para a Base de Dados SQL do Azure.
Versão mínima do TLS
A configuração mínima de versão do Transport Layer Security (TLS) permite que os clientes escolham qual versão do TLS seu banco de dados SQL usa. TLS é um protocolo criptográfico usado para proteger as comunicações cliente-servidor através de uma rede. Isso garante que informações confidenciais, como credenciais de autenticação e consultas de banco de dados, estejam protegidas contra intercetação e adulteração. É possível alterar a versão mínima do TLS usando o portal do Azure, o Azure PowerShell e a CLI do Azure.
A definição de uma versão TLS mínima garante um nível básico de conformidade e garante suporte para protocolos TLS mais recentes. Por exemplo, escolher TLS 1.2 significa que apenas conexões com TLS 1.2 ou TLS 1.3 são aceitas, enquanto conexões usando TLS 1.1 ou inferior são rejeitadas.
Atualmente, a versão mínima mais baixa do TLS suportada pelo Banco de Dados SQL do Azure é o TLS 1.2. Esta versão elimina vulnerabilidades encontradas em versões anteriores. É recomendável definir a versão mínima do TLS para TLS 1.2 após o teste para confirmar se seus aplicativos são compatíveis.
Observação
TLS 1.0 e 1.1 foram desativados e não estão mais disponíveis.
Configurar a versão mínima do TLS
Você pode configurar a versão mínima do TLS para conexões de cliente usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.
Atenção
- O padrão para a versão mínima do TLS é permitir todas as versões TLS 1.2 e superiores. Depois de impor uma versão do TLS, não é possível reverter para o padrão.
- Impor um mínimo de TLS 1.3 pode causar problemas para conexões de clientes que não suportam TLS 1.3, já que nem todos os drivers e sistemas operacionais suportam TLS 1.3.
Para clientes com aplicativos que dependem de versões mais antigas do TLS, recomendamos definir a versão mínima do TLS de acordo com os requisitos de seus aplicativos. Se os requisitos do aplicativo forem desconhecidos ou as cargas de trabalho dependerem de drivers mais antigos que não são mais mantidos, recomendamos não definir nenhuma versão mínima do TLS.
Para obter mais informações, consulte considerações sobre TLS para conectividade do Banco de dados SQL.
Depois de definir a versão mínima do TLS, os clientes que estiverem usando uma versão TLS inferior à versão mínima do TLS do servidor não conseguirão se autenticar, com o seguinte erro:
Error 47072
Login failed with invalid TLS version
Observação
A versão mínima do TLS é imposta na camada de aplicativo. As ferramentas que tentam determinar o suporte a TLS na camada de protocolo podem retornar versões TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade do Banco de dados SQL.
- Vá para o portal do Azure e vá para o servidor lógico no Azure.
- No separador Segurança, selecione a página Rede.
- Escolha a guia Conectividade . Selecione a Versão Mínima de TLS desejada para todos os bancos de dados associados ao servidor e selecione Guardar .
Identificar conexões de clientes
Você pode usar o portal do Azure e os logs de auditoria do SQL para identificar clientes que estão se conectando usando o TLS 1.0 e 1.0.
No portal do Azure, vá para Métricas em Monitorização para o recurso de base de dados e filtre por Conexões bem-sucedidase versões TLS = 1.0 e 1.1:
Você também pode consultar sys.fn_get_audit_file diretamente em seu banco de dados para exibir o client_tls_version_name no arquivo de auditoria, procurando eventos chamados audit_event.
Alterar a política de ligação
A política de conexão determina como os clientes se conectam. É altamente recomendável a política de conexão Redirect sobre a política de conexão Proxy para a menor latência e a maior taxa de transferência.
É possível alterar a política de conexão usando o portal do Azure, o Azure PowerShell e a CLI do Azure.
É possível alterar sua política de conexão para seu servidor lógico usando o portal do Azure.
- Vá para o portal do Azure. Vá para o servidor lógico no Azure.
- No separador Segurança, selecione a página Rede.
- Escolha o separador Conectividade. Escolha a política de ligação desejada e selecione Guardar.
Próximas perguntas frequentes sobre alterações de aposentadoria do TLS 1.0 e 1.1
O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, consulte a descontinuação do TLS 1.0 e 1.1.
A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para o Banco de Dados SQL do Azure e as conexões de cliente da Instância Gerenciada SQL do Azure abaixo do TLS 1.2.
Por que o TLS 1.0 e 1.1 está sendo aposentado?
As versões 1.0 e 1.1 do TLS estão desatualizadas e não atendem mais aos padrões de segurança modernos. Eles estão sendo aposentados para:
- Reduza a exposição a vulnerabilidades conhecidas.
- Alinhe-se com as práticas recomendadas do setor e os requisitos de conformidade.
- Verifique se os clientes estão usando protocolos de criptografia mais fortes, como TLS 1.2 ou TLS 1.3.
O que acontece se o TLS 1.0 e 1.1 forem usados após 31 de agosto de 2025?
Após 31 de agosto de 2025, o TLS 1.0 e 1.1 não será mais suportado e as conexões usando TLS 1.0 e 1.1 provavelmente falharão. É fundamental fazer a transição para um mínimo de TLS 1.2 ou superior antes do prazo.
Como posso verificar se meu Banco de Dados SQL, Instância Gerenciada SQL, Cosmos DB ou instâncias MySQL estão usando TLS 1.0/1.1?
Para identificar clientes que estão se conectando ao Banco de Dados SQL do Azure usando TLS 1.0 e 1.1, os logs de auditoria do SQL devem ser habilitados. Com a auditoria habilitada, você pode visualizar conexões de cliente.
Para identificar clientes que estão se conectando à sua Instância Gerenciada SQL do Azure usando TLS 1.0 e 1.1, a auditoria deve ser habilitada . Com a auditoria habilitada, você pode consumir logs de auditoria com o Armazenamento do Azure, Hubs de Eventos ou Logs do Azure Monitor para exibir conexões de cliente.
Para verificar a versão mínima do TLS do seu Azure Cosmos DB, obtenha o valor atual da propriedade usando a CLI do Azure ou o
minimalTlsVersionAzure PowerShell.Para verificar a versão mínima do TLS configurada para seu Banco de Dados do Azure para o MySQL Server, verifique o
tls_versionvalor do parâmetro do servidor usando a interface de linha de comando do MySQL para entender quais protocolos estão configurados.
Por que meu serviço foi sinalizado se eu já configurei o TLS 1.2?
Os serviços podem estar sinalizados incorretamente devido a:
- Fallback intermitente para versões TLS mais antigas por clientes herdados.
- Bibliotecas de cliente ou cadeias de conexão mal configuradas que não impõem o TLS 1.2.
- Atraso de telemetria ou falsos positivos na lógica de deteção.
O que devo fazer se receber um aviso de aposentadoria por engano?
Se seu servidor ou banco de dados já estiver configurado com TLS mínimo 1.2 ou configurado sem TLS mínimo (a configuração padrão no Banco de dados SQL e na Instância minimalTLSVersion Gerenciada SQL que mapeia para 0) e se conectar com 1.2, nenhuma ação será necessária.
O que acontece se meu aplicativo ou biblioteca de cliente não suportar TLS 1.2?
As conexões falharão quando o TLS 1.0/1.1 estiver desativado. Você deve atualizar suas bibliotecas de cliente, drivers ou estruturas para versões que suportem TLS 1.2.
E se o meu servidor estiver configurado sem uma versão mínima de TLS?
Os servidores configurados sem versão mínima do TLS e conectando-se ao TLS 1.0/1.1 devem ser atualizados para a versão mínima do TLS 1.2. Para servidores configurados sem versão mínima de TLS e conectando-se com 1.2, nenhuma ação é necessária. Para servidores configurados sem versão mínima de TLS e usando conexões criptografadas, nenhuma ação é necessária.
Como serei notificado sobre a aposentadoria do TLS para meus recursos?
Os lembretes por e-mail continuarão até a aposentadoria do TLS 1.0 e 1.1 em agosto.
Quem posso contatar se precisar de ajuda para validar ou atualizar minhas configurações de TLS?
Se precisar de ajuda para validar ou atualizar suas configurações de TLS, entre em contato com as Perguntas e Respostas da Microsoft ou abra um tíquete de suporte usando o portal do Azure se tiver um plano de suporte.