Configuración de conectividad

Se aplica a:Azure SQL DatabaseBase de datos SQL en Fabric

En este artículo se presenta la configuración que controla la conectividad con el servidor para Azure SQL Database y SQL Database en Microsoft Fabric.

• Para obtener más información sobre los distintos componentes que dirigen el tráfico de red y las directivas de conexión, consulte arquitectura de conectividad.
• Este artículo no se aplica a Azure SQL Managed Instance; en su lugar, consulte Conecte su aplicación a Azure SQL Managed Instance.
• Este artículo no se aplica a Azure Synapse Analytics.
  • Para ver la configuración que controla la conectividad con grupos de SQL dedicados en Azure Synapse Analytics, consulte configuración de conectividad de Azure Synapse Analytics.
  • Para obtener las cadenas de conexión de grupos de Azure Synapse Analytics, vea Conexión a Synapse SQL.
  • Puede encontrar una guía sobre cómo configurar reglas de firewall de IP para Azure Synapse Analytics con áreas de trabajo en Reglas de firewall de IP de Azure Synapse Analytics.

Redes y conectividad

Puede cambiar esta configuración en el servidor lógico.

Cambio del acceso a la red pública

Es posible cambiar el acceso a la red pública de Azure SQL Database a través de Azure Portal, Azure PowerShell y la CLI de Azure.

Nota:

Estos valores surten efecto inmediatamente después de aplicarse. Los clientes pueden experimentar una pérdida de conexión si no cumplen los requisitos de cada opción de configuración.

Portal

Para habilitar el acceso a la red pública para el servidor lógico que hospeda las bases de datos:

1. Vaya al portal de Azure y después al servidor lógico en Azure.
2. En la sección Seguridad, seleccione Redes.
3. Elija la pestaña Acceso público y, después, establezca el Acceso de red pública en Determinadas redes.

En esta página puede agregar una regla de red virtual, así como configurar reglas de firewall para el punto de conexión público.

Elija la pestaña Acceso privado para configurar un punto de conexión privado.

PowerShell

Es posible cambiar el acceso a la red pública mediante Azure PowerShell.

Importante

El módulo Az reemplaza a AzureRM. Todo el desarrollo futuro será para el módulo Az.Sql. El script siguiente requiere el módulo de Azure PowerShell.

El siguiente script de PowerShell le muestra cómo aplicar las operaciones Get y Set a la propiedad Public Network Access (Acceso a la red pública) en el nivel del servidor:

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

CLI de Azure

Es posible cambiar la configuración de red pública mediante la CLI de Azure.

El siguiente script de la CLI muestra cómo cambiar la opción Acceso a la red pública en un shell de Bash:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Denegación del acceso a una red pública

El valor predeterminado para Acceso a una red pública es Deshabilitar. Los clientes pueden optar por conectarse a una base de datos mediante puntos de conexión públicos (con reglas de firewall de nivel de servidor basadas en IP o reglas de firewall de red virtual) o puntos de conexión privados (mediante Azure Private Link), tal como se describe en la introducción al acceso de red.

Cuando la opción Acceso a una red pública está establecida en Deshabilitar, solo se permiten las conexiones mediante puntos de conexión privados. Se denegarán todas las conexiones a través de puntos de conexión públicos con un mensaje de error similar al siguiente:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.

Cuando la opción Acceso a una red pública está establecida en Deshabilitar, se deniega cualquier intento de agregar, quitar o editar las reglas de firewall con un mensaje de error similar al siguiente:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.

Asegúrese de que Acceso a la red pública esté establecido en Redes seleccionadas para poder agregar, quitar o editar las reglas de firewall para Azure SQL Database.

Versión de TLS mínima

La opción de versión mínima de Seguridad de la capa de transporte (TLS) permite a los clientes elegir la versión de TLS que usa su base de datos SQL. TLS es un protocolo criptográfico que se usa para proteger las comunicaciones de cliente-servidor a través de una red. Esto garantiza que la información confidencial, como las credenciales de autenticación y las consultas de base de datos, esté segura de la interceptación y manipulación. Es posible cambiar la versión mínima de TLS mediante el portal de Azure, Azure PowerShell y la CLI de Azure.

Establecer una versión mínima de TLS garantiza un nivel de cumplimiento previsto y garantiza la compatibilidad con los protocolos TLS más recientes. Por ejemplo, elegir TLS 1.2 significa que solo se aceptan las conexiones con TLS 1.2 o TLS 1.3, mientras que las conexiones que usan TLS 1.1 o inferior se rechazan.

Actualmente, la versión mínima mínima de TLS compatible con Azure SQL Database es TLS 1.2. Esta versión aborda las vulnerabilidades encontradas en versiones anteriores. Se recomienda establecer la versión mínima de TLS en TLS 1.2 después de las pruebas para confirmar que las aplicaciones son compatibles.

Nota:

TLS 1.0 y 1.1 se retiran y ya no están disponibles.

Configuración de la versión mínima de TLS

Puede configurar la versión mínima de TLS para las conexiones de cliente mediante Azure Portal, Azure PowerShell o la CLI de Azure.

Precaución

• El valor predeterminado de la versión mínima de TLS es permitir todas las versiones TLS 1.2 y posteriores. Después de aplicar una versión de TLS, no es posible revertir al valor predeterminado.
• La aplicación de un mínimo de TLS 1.3 puede provocar problemas para las conexiones de los clientes que no admiten TLS 1.3, ya que no todos los drivers y sistemas operativos admiten TLS 1.3.

En el caso de los clientes con aplicaciones que se basan en versiones anteriores de TLS, se recomienda establecer la versión mínima de TLS en función de los requisitos de las aplicaciones. Si los requisitos de la aplicación son desconocidos o si las cargas de trabajo dependen de controladores más antiguos que ya no se mantienen, se recomienda no establecer ninguna versión mínima de TLS.

Para obtener más información, consulte Consideraciones de TLS para la conectividad de SQL Database.

Después de establecer la versión mínima de TLS, se producirá el siguiente error de autenticación en los clientes que usan una versión de TLS inferior a la versión mínima de TLS del servidor:

Error 47072
Login failed with invalid TLS version

Nota:

La versión mínima de TLS se aplica en la capa de aplicación. Las herramientas que intentan determinar la compatibilidad de TLS en la capa de protocolo pueden devolver versiones de TLS además de la versión mínima necesaria cuando se ejecutan directamente en el punto de conexión de SQL Database.

Portal

1. Vaya al portal de Azure y después al servidor lógico en Azure.
2. En la sección Seguridad, seleccione Redes.
3. Elija la pestaña Conectividad. Seleccione la versión de TLS mínima deseada para todas las bases de datos asociadas al servidor y seleccione Guardar.

PowerShell

Es posible cambiar la versión de TLS mínima mediante Azure PowerShell.

Importante

El módulo Az reemplaza a AzureRM. Todo el desarrollo futuro será para el módulo Az.Sql. El script siguiente requiere el módulo de Azure PowerShell.

El siguiente script de PowerShell muestra cómo Get y la propiedad Versión mínima de TLS en el nivel del servidor lógico:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Para Set la propiedad Versión mínima de TLS en el nivel de servidor lógico, reemplace la contraseña de administrador SQL con strong_password_here_password y ejecute lo siguiente:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

CLI de Azure

Es posible cambiar la configuración de TLS mínima mediante la CLI de Azure.

Importante

Todos los scripts de esta sección requieren la CLI de Azure.

El siguiente script de la CLI muestra cómo cambiar la opción Minimal TLS Version (versión mínima de TLS) en un shell de Bash:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Identificar las conexiones de cliente

Puede usar Azure Portal y los registros de auditoría de SQL para identificar los clientes que se conectan mediante TLS 1.0 y 1.1.

En Azure Portal, vaya a Métricas en Supervisión del recurso de base de datos y, a continuación, filtre por conexiones correctas y versiones de TLS = 1.0 y 1.1:

También puede consultar sys.fn_get_audit_file directamente dentro de su base de datos para ver el client_tls_version_name en el archivo de auditoría, buscando eventos denominados audit_event.

Cambio de la directiva de conexión

La directiva de conexión determina cómo se conectan los clientes. Es muy recomendable utilizar la directiva de conexión Redirect frente a Proxy para obtener la menor latencia y el mayor rendimiento.

Es posible cambiar la directiva de conexión mediante el portal de Azure, Azure PowerShell y la CLI de Azure.

Portal

Es posible cambiar la directiva de conexión para el servidor lógico mediante el portal de Azure.

1. Vaya a Azure Portal. Vaya al servidor lógico en Azure.
2. En la sección Seguridad, seleccione Redes.
3. Elija la pestaña Conectividad. Elija la directiva de conexión deseada y seleccione Guardar.

PowerShell

Es posible cambiar la directiva de conexión del servidor lógico mediante Azure PowerShell.

Importante

El módulo Az reemplaza a AzureRM. Todo el desarrollo futuro será para el módulo Az.Sql. El script siguiente requiere el módulo de Azure PowerShell.

El siguiente script muestra cómo cambiar la directiva de conexión mediante PowerShell:

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

CLI de Azure

Es posible cambiar la directiva de conexión para el servidor lógico mediante la CLI de Azure.

Importante

Todos los scripts de esta sección requieren la CLI de Azure.

CLI de Azure en un shell de Bash

Para obtener información sobre cómo cambiar la directiva de conexión de Azure SQL Database para un servidor, consulte conn-policy

El siguiente script de CLI muestra cómo cambiar la directiva de conexión en un shell de Bash:

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

CLI de Azure desde un símbolo del sistema de Windows

El siguiente script de CLI muestra cómo cambiar la política de conexión desde un terminal de Windows (con CLI de Azure instalada):

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

Preguntas más frecuentes sobre los próximos cambios de retirada de TLS 1.0 y 1.1

Azure ha anunciado que la compatibilidad con versiones anteriores de TLS (TLS 1.0 y 1.1) finaliza el 31 de agosto de 2025. Para obtener más información, vea Desuso de TLS 1.0 y 1.1.

A partir de noviembre de 2024, ya no podrá establecer la versión mínima de TLS para las conexiones de cliente de Azure SQL Database e Instancia administrada de Azure SQL por debajo de TLS 1.2.

¿Por qué se va a retirar TLS 1.0 y 1.1?

Las versiones 1.0 y 1.1 de TLS están obsoletas y ya no cumplen los estándares de seguridad modernos. Se retiran a:

• Reduzca la exposición a vulnerabilidades conocidas.
• Alinee con los procedimientos recomendados del sector y los requisitos de cumplimiento.
• Asegúrese de que los clientes usan protocolos de cifrado más seguros como TLS 1.2 o TLS 1.3.

¿Qué ocurre si TLS 1.0 y 1.1 se usan después del 31 de agosto de 2025?

Después del 31 de agosto de 2025, ya no se admitirá TLS 1.0 y 1.1, y es probable que se produzca un error en las conexiones que usan TLS 1.0 y 1.1. Es fundamental realizar la transición a un mínimo de TLS 1.2 o superior antes de la fecha límite.

¿Cómo puedo comprobar si mis instancias de SQL Database, INSTANCIA administrada de SQL, Cosmos DB o MySQL usan TLS 1.0/1.1?

• Para identificar los clientes que se conectan a azure SQL Database mediante TLS 1.0 y 1.1, se deben habilitar los registros de auditoría de SQL . Con la auditoría habilitada, puede ver las conexiones de cliente.

• Para identificar los clientes que se conectan a la instancia administrada de Azure SQL mediante TLS 1.0 y 1.1, la auditoría debe estar habilitada. Con la auditoría habilitada, puede consumir registros de auditoría con Azure Storage, Event Hubs o registros de Azure Monitor para ver las conexiones de cliente.

• Para comprobar la versión mínima de TLS de Azure Cosmos DB, obtenga el valor actual de la propiedad mediante la minimalTlsVersion CLI de Azure o Azure PowerShell.

• Para comprobar la versión mínima de TLS configurada para el servidor de Azure Database for MySQL, compruebe el valor del tls_version parámetro de servidor mediante la interfaz de línea de comandos de MySQL para comprender qué protocolos están configurados.

¿Por qué mi servicio se marcó si ya he configurado TLS 1.2?

Es posible que los servicios se marquen incorrectamente debido a:

• Reserva intermitente a versiones anteriores de TLS por parte de clientes heredados.
• Bibliotecas de cliente o cadenas de conexión mal configuradas que no aplican TLS 1.2.
• Retraso de telemetría o falsos positivos en la lógica de detección.

¿Qué debo hacer si recibí un aviso de retirada en caso de error?

Si el servidor o la base de datos ya está configurado con TLS 1.2 mínimo o configurado sin TLS mínimo (la configuración predeterminada en SQL Database e Instancia minimalTLSVersion administrada de SQL que se asigna a 0) y que se conecta con la versión 1.2, no se requiere ninguna acción.

¿Qué ocurre si mi aplicación o biblioteca cliente no admite TLS 1.2?

Las conexiones producirán un error una vez que TLS 1.0/1.1 estén deshabilitados. Debe actualizar las bibliotecas, controladores o marcos de cliente a versiones compatibles con TLS 1.2.

¿Qué ocurre si mi servidor está configurado sin una versión mínima de TLS?

Los servidores configurados sin versión mínima de TLS y la conexión con TLS 1.0/1.1 deben actualizarse a la versión mínima de TLS 1.2. En el caso de los servidores configurados sin una versión mínima de TLS y la conexión con la versión 1.2, no se requiere ninguna acción. En el caso de los servidores configurados sin una versión mínima de TLS y con conexiones cifradas, no se requiere ninguna acción.

¿Cómo se me notificará sobre la retirada de TLS para mis recursos?

Los avisos de correo electrónico seguirán dando lugar a la retirada de TLS 1.0 y 1.1 en agosto.

¿Quién puedo ponerse en contacto si necesito ayuda para validar o actualizar la configuración de TLS?

Si necesita ayuda para validar o actualizar la configuración de TLS, póngase en contacto con Microsoft Q&A o abra una incidencia de soporte técnico mediante Azure Portal si tiene un plan de soporte técnico.

Contenido relacionado

• Arquitectura de conectividad