Conectividade SSL/TLS no Banco de Dados do Azure para MariaDB
Importante
O Banco de Dados do Azure para MariaDB está a caminho da desativação. É altamente recomendável que você migre para o Banco de Dados do Azure para MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para MariaDB?.
O Banco de Dados do Azure para MariaDB dá suporte à conexão de seu servidor de banco de dados com aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo.
Observação
Com base nos comentários dos clientes, estendemos a substituição do certificado raiz para nossa CA Raiz Baltimore existente até 15 de fevereiro de 2021 (15/02/2021).
Importante
O certificado raiz SSL está definido para expirar a partir de 15 de fevereiro de 2021 (15/02/2021). Atualize o aplicativo para usar o novo certificado. Para saber mais, confira atualizações de certificado planejadas
Configurações padrão
Por padrão, o serviço de banco de dados deve ser configurado para exigir conexões SSL ao se conectar ao MariaDB. Recomendamos evitar desabilitar a opção SSL sempre que possível.
Ao provisionar um novo servidor de Banco de Dados do Azure para MariaDB por meio do portal do Azure e da CLI do Azure, a imposição de conexões SSL está habilitada por padrão.
Em alguns casos, os aplicativos exigem um arquivo de certificado local gerado de um arquivo de certificado de uma Autoridade de Certificação (CA) confiável para se conectar com segurança. Atualmente os clientes só podem usar o certificado predefinido para se conectar a um servidor do Banco de Dados do Azure para MariaDB localizado em https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem.
Da mesma forma, os links a seguir apontam para certificados de servidores em nuvens soberanas: Azure Governamental, Azure operado pela 21Vianet e Azure Alemanha.
Cadeias de conexão para várias linguagens de programação são mostradas no Portal do Azure. Essas cadeias de conexão incluem os parâmetros SSL necessários para conectar-se ao banco de dados. No Portal do Azure, selecione seu servidor. No cabeçalho Configurações, selecione as Cadeias de conexão. O parâmetro SSL varia de acordo com o conector, por exemplo "ssl=true" ou "sslmode=require" ou "sslmode=required" e outras variações.
Para saber como habilitar ou desabilitar a conexão SSL durante o desenvolvimento de aplicativos, consulte Como configurar o SSL.
Imposição de TLS no Banco de Dados do Azure para MariaDB
O Banco de Dados do Azure para MariaDB dá suporte à criptografia para clientes que se conectam ao servidor de banco de dados usando o protocolo TLS. O TLS é um protocolo padrão do setor que garante conexões de rede seguras entre o servidor de banco de dados e os aplicativos cliente, permitindo que você atenda aos requisitos de conformidade.
Configurações de protocolo TLS
O Banco de Dados do Azure para MariaDB fornece a capacidade de impor a versão de TLS para as conexões de cliente. Para impor a versão de TLS, use a configuração de opção versão mínima do TLS. Os valores a seguir são permitidos para essa configuração de opção:
| Configuração de TLS mínima | Versão do TLS do cliente com suporte |
|---|---|
| TLSEnforcementDisabled (padrão) | Não é necessário TLS |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 e superior |
| TLS1_1 | TLS 1.1, TLS 1.2 e superior |
| TLS1_2 | Versão TLS 1.2 e superior |
Por exemplo, definir o valor da versão mínima de configuração do TLS como 1.0 significa que o servidor permitirá conexões de clientes usando TLS 1.0, 1.1, 1.2 e superior. Como alternativa, definir como 1.2 significa que você só permitirá conexões de clientes que usam o TLS 1.2+ e todas as conexões com o TLS 1.0 e TLS 1.1 serão rejeitadas.
Observação
Por padrão, o Banco de Dados do Azure para MariaDB não impõe uma versão mínima do TLS (a configuração TLSEnforcementDisabled).
Depois de aplicar uma versão mínima do TLS, você não poderá desabilitar mais tarde a imposição mínima da versão.
Para saber como definir a configuração de TLS para o Banco de Dados do Azure para MariaDB, veja Como definir a configuração de TLS.
Suporte de criptografia pelo Banco de Dados do Azure para MariaDB
Como parte da comunicação do protocolo SSL/TLS, os conjuntos de criptografia são validados e apenas os conjuntos de criptografia com suporte têm permissão para se comunicar com o servidor do banco de dados. A validação do conjunto de criptografia é controlada na camada do gateway e não explicitamente no próprio nó. Se os conjuntos de criptografia não corresponderem a um dos conjuntos listados abaixo, as conexões de entrada do cliente serão rejeitadas.
Conjunto de criptografia com suporte
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Próximas etapas
- Saiba mais sobre regras de firewall de servidor
- Saiba como configurar o SSL
- Saiba como configurar o TLS