Configuración de la versión mínima de TLS en Instancia administrada de Azure SQL

La opción de versión mínima de Seguridad de la capa de transporte (TLS) permite a los clientes controlar la versión de TLS que usa Instancia administrada de Azure SQL.

Actualmente, se admiten TLS 1.0, 1.1 y 1.2. La opción de versión mínima de TLS garantiza que se admitan las versiones posteriores más recientes de TLS. Por ejemplo, elegir una versión de TLS superior a 1.1. significa que solo se aceptan conexiones con TLS 1.1 y 1.2, y se rechaza TLS 1.0. Después de realizar las pruebas para confirmar que las aplicaciones son compatibles, se recomienda establecer la versión mínima de TLS en 1.2, ya que incluye correcciones de vulnerabilidades detectadas en versiones anteriores, y es la versión superior de TLS admitida en Instancia administrada de Azure SQL.

En el caso de los clientes con aplicaciones que se basan en versiones anteriores de TLS, se recomienda establecer la versión mínima de TLS según los requisitos de las aplicaciones. En el caso de los clientes que se basan en aplicaciones para conectarse mediante una conexión sin cifrar, se recomienda no establecer ninguna versión mínima de TLS.

Para obtener más información, consulte Consideraciones de TLS para la conectividad de SQL Database.

Después de establecer la versión mínima de TLS, se producirá un error en los intentos de inicio de sesión de los clientes que usen una versión de TLS inferior a la versión mínima de TLS del servidor, con el siguiente error:

Error 47072
Login failed with invalid TLS version

Nota:

Al configurar una versión mínima de TLS, esa versión mínima se aplica en la capa de aplicación. Las herramientas que intentan determinar la compatibilidad de TLS en la capa de protocolo pueden devolver versiones de TLS además de la versión mínima necesaria cuando se ejecutan directamente en el punto de conexión de la instancia administrada.

Establecimiento de la versión mínima de TLS mediante PowerShell

Nota:

En este artículo se usa el módulo Az de PowerShell, que es el módulo de PowerShell que se recomienda para interactuar con Azure. Para empezar a trabajar con el módulo Az de PowerShell, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Importante

El módulo de Azure Resource Manager para PowerShell todavía es compatible con Azure SQL Database, pero todo el desarrollo futuro se realizará para el módulo Az.Sql. Para estos cmdlets, consulte AzureRM.Sql. Los argumentos para los comandos del módulo Az y los módulos AzureRm son esencialmente idénticos. El script siguiente requiere el módulo de Azure PowerShell.

El siguiente script de PowerShell muestra cómo Get y Set la propiedad Versión mínima de TLS en el nivel de instancia:

#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion

# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"

Establecimiento de la versión mínima de TLS mediante la CLI de Azure

Importante

Todos los scripts de esta sección requieren la CLI de Azure.

CLI de Azure en un shell de Bash

El siguiente script de la CLI muestra cómo cambiar la opción Minimal TLS Version (Versión mínima de TLS) en un shell de Bash:

# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"