Conectividad SSL/TLS en Azure Database for MariaDB
Importante
Azure Database for MariaDB está en proceso de retirada. Se recomienda encarecidamente migrar a Azure Database for MySQL. Para más información sobre la migración a Azure Database for MySQL, consulte ¿Qué ocurre con Azure Database for MariaDB?.
Azure Database for MariaDB permite conectar el servidor de bases de datos a las aplicaciones cliente con la Capa de sockets seguros (SSL). Aplicar conexiones SSL entre el servidor de base de datos y las aplicaciones cliente ayuda a proteger contra los ataques de tipo "man in the middle" mediante el cifrado del flujo de datos entre el servidor y la aplicación.
Nota:
En base a los comentarios de los clientes se ha extendido la puesta en desuso del certificado raíz de la entidad de certificación raíz Baltimore existente hasta el 15 de febrero de 2021 (15/02/2021).
Importante
El certificado raíz de SSL se ha establecido para que expire a partir del 15 de febrero de 2021 (15/02/2021). Actualice la aplicación para que use el nuevo certificado. Para más información, consulte el artículo sobre las actualizaciones de certificados planeadas.
Configuración predeterminada
De forma predeterminada, el servicio de base de datos debe configurarse para requerir conexiones SSL al conectar con MariaDB. Se recomienda evitar la desactivación de la opción SSL siempre que sea posible.
Al aprovisionar un nuevo servidor de Azure Database for MariaDB en Azure Portal o con la CLI de Azure, el establecimiento de conexiones SSL está habilitado de forma predeterminada.
En algunos casos, las aplicaciones requieren un archivo de certificado local generado a partir de un archivo de certificado de una entidad de certificación (CA) de confianza para conectarse de forma segura. Actualmente, los clientes solo pueden usar el certificado predefinido para conectarse a un servidor de Azure Database for MariaDB que se encuentra en https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem.
Del mismo modo, los siguientes enlaces apuntan a los certificados para servidores en nubes soberanas: Azure Government, Microsoft Azure operado por 21Vianet, y Azure Germany.
Las cadenas de conexión para distintos lenguajes de programación se muestran en Azure Portal. Estas cadenas de conexión incluyen los parámetros SSL que se requieren para conectarse a la base de datos. En Azure Portal, seleccione el servidor. En el encabezado Configuración, seleccione las cadenas de conexión. El parámetro SSL varía según el conector, por ejemplo, "ssl = true" o "sslmode = require" o "sslmode = required" y otras variaciones.
Para información sobre cómo habilitar o deshabilitar la conexión SSL al desarrollar la aplicación, consulte Configuración de SSL.
Aplicación de TLS en Azure Database for MariaDB
Azure Database for MariaDB admite el cifrado de los clientes que se conectan al servidor de bases de datos mediante la Seguridad de la capa de transporte (TLS). TLS es un protocolo estándar del sector que garantiza conexiones de red seguras entre el servidor de bases de datos y las aplicaciones cliente, lo que le permite ajustarse a los requisitos de cumplimiento.
Configuración de TLS
Azure Database for MariaDB proporciona la capacidad de aplicar la versión de TLS para las conexiones cliente. Para aplicar la versión de TLS, use el valor de la opción Versión de TLS mínima. Se permiten los siguientes valores para esta configuración de opción:
| Versión de TLS mínima | Versión de TLS compatible con el cliente |
|---|---|
| TLSEnforcementDisabled (valor predeterminado) | No se requiere TLS |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 y versiones posteriores |
| TLS1_1 | TLS 1.1, TLS 1.2 y versiones posteriores |
| TLS1_2 | TLS versión 1.2 y posteriores |
Por ejemplo, si se establece el valor de la versión de TLS mínima en TLS 1.0, significa que el servidor permitirá conexiones de los clientes que usen TLS 1.0, 1.1 y 1.2 y versiones posteriores. Como alternativa, si se establece en 1.2 significa que solo se permiten conexiones de los clientes que usan TLS 1.2 o versión posterior y se rechazan todas las conexiones con TLS 1.0 y TLS 1.1.
Nota:
De forma predeterminada, Azure Database for MariaDB no aplica una versión de TLS mínima (opción de configuración TLSEnforcementDisabled).
Una vez que aplica una versión de TLS mínima, esta no se puede deshabilitar posteriormente.
Para obtener información sobre cómo establecer la configuración de TLS para Azure Database for MariaDB, consulte Configuración de los valores de TLS.
Cifrado admitido por el servidor único de Azure Database for MariaDB
Como parte de la comunicación SSL/TLS, los conjuntos de cifrado se validan y solo los admitidos pueden comunicarse con el servidor de bases de datos. La validación del conjunto de cifrado se controla en el nivel de puerta de enlace y no de manera explícita en el propio nodo. Si los conjuntos de cifrado no coinciden con algunos de los conjuntos mencionados a continuación, se rechazarán las conexiones de cliente entrantes.
Conjunto de cifrado compatible
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Pasos siguientes
- Obtenga más información sobre las reglas de firewall del servidor
- Obtenga más información sobre cómo configurar SSL.
- Obtenga más información sobre cómo configurar TLS.