Conectividade SSL/TLS no Banco de Dados do Azure para MariaDB
Importante
O Banco de Dados do Azure para MariaDB está no caminho da aposentadoria. É altamente recomendável migrar para o Banco de Dados do Azure para MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para MariaDB?.
O Banco de Dados do Azure para MariaDB dá suporte à conexão do servidor de banco de dados a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de ligações SSL entre o servidor de base de dados e as aplicações de cliente ajuda a proteger contra ataques "man-in-the-middle" ao encriptar o fluxo de dados entre o servidor e a sua aplicação.
Nota
Com base no feedback dos clientes, estendemos a substituição do certificado raiz para nossa CA raiz de Baltimore existente até 15 de fevereiro de 2021 (15/02/2021).
Importante
O certificado raiz SSL está definido para expirar a partir de 15 de fevereiro de 2021 (15/02/2021). Por favor, atualize seu aplicativo para usar o novo certificado. Para saber mais, consulte Atualizações de certificados planejadas
Configurações padrão
Por padrão, o serviço de banco de dados deve ser configurado para exigir conexões SSL ao se conectar ao MariaDB. Recomendamos evitar desativar a opção SSL sempre que possível.
Ao provisionar um novo Banco de Dados do Azure para o servidor MariaDB por meio do portal do Azure e da CLI, a imposição de conexões SSL é habilitada por padrão.
Em alguns casos, os aplicativos exigem um arquivo de certificado local gerado a partir de um arquivo de certificado de Autoridade de Certificação (CA) confiável para se conectarem com segurança. Atualmente, os clientes só podem usar o certificado predefinido para se conectar a um banco de dados do Azure para servidor MariaDB localizado em https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem.
Da mesma forma, os links a seguir apontam para os certificados para servidores em nuvens soberanas: Azure Government, Microsoft Azure operado pela 21Vianet e Azure Germany.
As cadeias de conexão para várias linguagens de programação são mostradas no portal do Azure. Essas cadeias de conexão incluem os parâmetros SSL necessários para se conectar ao seu banco de dados. No portal do Azure, selecione seu servidor. No cabeçalho Configurações, selecione as Cadeias de conexão. O parâmetro SSL varia com base no conector, por exemplo "ssl=true" ou "sslmode=require" ou "sslmode=required" e outras variações.
Para saber como habilitar ou desabilitar a conexão SSL ao desenvolver o aplicativo, consulte Como configurar o SSL.
Imposição de TLS no Banco de Dados do Azure para MariaDB
O Banco de Dados do Azure para MariaDB dá suporte à criptografia para clientes que se conectam ao seu servidor de banco de dados usando TLS (Transport Layer Security). O TLS é um protocolo padrão do setor que garante conexões de rede seguras entre seu servidor de banco de dados e aplicativos cliente, permitindo que você cumpra os requisitos de conformidade.
Definições do TLS
O Banco de Dados do Azure para MariaDB fornece a capacidade de impor a versão TLS para as conexões de cliente. Para impor a versão TLS, use a configuração da opção Versão mínima do TLS . Os seguintes valores são permitidos para essa configuração de opção:
| Configuração mínima de TLS | Versão TLS do cliente suportada |
|---|---|
| TLSEnforcementDisabled (padrão) | Não é necessário TLS |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 e superior |
| TLS1_1 | TLS 1.1, TLS 1.2 e superior |
| TLS1_2 | TLS versão 1.2 e superior |
Por exemplo, definir o valor da versão mínima de configuração TLS como TLS 1.0 significa que seu servidor permitirá conexões de clientes usando TLS 1.0, 1.1 e 1.2+. Como alternativa, definir isso como 1.2 significa que você só permite conexões de clientes usando TLS 1.2+ e todas as conexões com TLS 1.0 e TLS 1.1 serão rejeitadas.
Nota
Por padrão, o Banco de Dados do Azure para MariaDB não impõe uma versão mínima do TLS (a configuração TLSEnforcementDisabled).
Depois de impor uma versão mínima do TLS, você não poderá desativar posteriormente a imposição da versão mínima.
Para saber como definir a configuração TLS para seu Banco de Dados do Azure para MariaDB, consulte Como definir a configuração TLS.
Suporte de codificação pelo Banco de Dados do Azure para MariaDB
Como parte da comunicação SSL/TLS, os pacotes de codificação são validados e apenas os conjuntos de codificação de suporte têm permissão para se comunicar com o servidor de banco de dados. A validação do conjunto de codificação é controlada na camada de gateway e não explicitamente no nó em si. Se os pacotes de codificação não corresponderem a um dos pacotes listados abaixo, as conexões de cliente de entrada serão rejeitadas.
Pacote de codificação suportado
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Próximos passos
- Saiba mais sobre as regras de firewall do servidor
- Saiba como configurar o SSL
- Saiba como configurar o TLS