Configurações de conectividade do Banco de Dados SQL do Azure e do Azure Synapse Analytics

  • Artigo

Aplica-se a: Banco de Dados SQL do Azure Azure Synapse Analytics (somente pools de SQL dedicados)

Este artigo apresenta as configurações que controlam a conectividade com o servidor para o Banco de Dados SQL do Azure e o pool de SQL dedicado (antigo SQL DW) no Azure Synapse Analytics.

Rede e conectividade

Você pode alterar essas configurações no seu servidor lógico. Um SQL Server lógico pode hospedar bancos de dados SQL do Azure e pools de SQL dedicados autônomos que não estão em um workspace do Azure Synapse Analytics.

Observação

Essas configurações se aplicam a todos os bancos de dados SQL do Azure e a pools de SQL dedicados (antigo SQL DW) associados ao servidor lógico. Estas instruções não se aplicam a pools de SQL dedicados em um workspace do Azure Synapse Analytics.

Captura de tela das configurações de redes virtuais e firewalls no portal do Azure para o SQL Server.

Alterar o acesso à rede pública

É possível alterar o acesso à rede pública para o seu banco de dados SQL do Azure ou pool de SQL dedicado isolado por meio do portal do Azure, do Azure PowerShell e da CLI do Azure.

Observação

Essas configurações entram em vigor imediatamente após serem aplicadas. Seus clientes poderão enfrentar perda de conexão se não atenderem aos requisitos de cada configuração.

Para habilitar o acesso à rede pública para o servidor lógico que hospeda seus bancos de dados:

  1. Vá para o portal do Azure e vá para o servidor lógico no Azure.
  2. Em Segurança, selecione a página Rede.
  3. Escolha a guia Acesso Público e defina Acesso à rede pública como Redes selecionadas.

Nessa página, você pode adicionar uma regra da rede virtual, bem como configurar as regras de firewall para seu ponto de extremidade público.

Escolha a guia Acesso privado para configurar um ponto de extremidade privado.

Negar acesso à rede pública

O padrão de configuração de Acesso à rede pública é Desabilitar. Os clientes podem optar por se conectar a um banco de dados usando pontos de extremidade públicos (com regras de firewall em nível de servidor baseadas em IP ou com regras de firewall de rede virtual) ou pontos de extremidade privados (usando o Link Privado do Azure), conforme descrito na visão geral do acesso à rede.

Quando o Acesso à rede pública está definido como Desativar, somente conexões de pontos de extremidade privados são permitidas. Todas as conexões de pontos de extremidade públicos serão negadas com uma mensagem de erro semelhante a:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Quando o Acesso à rede pública estiver definido como Desativar, qualquer tentativa de adicionar, remover ou editar uma regra de firewall será negada com uma mensagem de erro semelhante a:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Certifique-se de que o Acesso à rede pública esteja definido como Redes selecionadas para poder adicionar, remover ou editar regras de firewall para o Banco de Dados SQL do Azure e o Azure Synapse Analytics.

Versão mínima do TLS

A configuração da versão mínima do protocolo TLS permite que os clientes escolham qual versão do TLS será usada pelo banco de dados SQL. É possível alterar a versão mínima do TLS usando o portal do Azure, o Azure PowerShell e a CLI do Azure.

Atualmente, o Banco de Dados SQL do Azure dá suporte ao TLS 1.0, 1.1, 1.2 e 1.3. A definição de uma versão mínima do TLS garante a compatibilidade com as versões mais recentes do TLS. Por exemplo, escolher uma versão do TLS 1.1 significa que somente as conexões com o TLS 1.1 e 1.2 são aceitas e as conexões com o TLS 1.0 não são aceitas. Depois de você confirmar que os aplicativos dão suporte ao protocolo, é recomendável definir a versão mínima do TLS como 1.2. Essa versão inclui a correção das vulnerabilidades de versões anteriores, além de ser a versão mais recente do TLS compatível no banco de dados SQL do Azure.

Próximas mudanças relacionadas à desativação

O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, confira Preterição do TLS 1.0 e TLS 1.1.

A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para conexões de cliente do Banco de Dados SQL do Azure e do Azure Synapse Analytics abaixo do TLS 1.2.

Configurar a versão mínima do TLS

Você pode configurar a versão mínima do TLS para conexões de cliente usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Cuidado

  • O padrão para a versão mínima do TLS é permitir todas as versões. Após aplicar uma versão do TLS, não é possível voltar ao padrão.
  • Impor no mínimo a versão TLS 1.3 pode causar problemas para as conexões de clientes que não forem compatíveis com o TLS 1.3, pois nem todos os drivers e sistemas operacionais são compatíveis com essa versão.

Para clientes com aplicativos que dependem de versões anteriores do TLS, é recomendável definir a versão mínima do TLS de acordo com os requisitos dos aplicativos. Se os requisitos de aplicativo são desconhecidos ou se as cargas de trabalho dependem de drivers mais antigos que deixaram de receber manutenção, recomendamos não definir nenhuma versão mínima do TLS.

Para obter mais informações, confira Considerações sobre TLS para conectividade do Banco de Dados SQL.

Após você definir a versão mínima do TLS, ocorrerá falha na autenticação de clientes que estão usando uma versão do TLS inferior à versão mínima do TLS do servidor com o seguinte erro:

Error 47072
Login failed with invalid TLS version

Observação

A versão mínima é imposta na camada do aplicativo. As ferramentas que tentam determinar o suporte a TLS na camada de protocolo podem retornar versões de TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade do Banco de Dados SQL.

  1. Vá para o portal do Azure e vá para o servidor lógico no Azure.
  2. Em Segurança, selecione a página Rede.
  3. Escolha a guia Conectividade. Selecione a Versão mínima do TLS desejada para todos os bancos de dados associados ao servidor e selecione Salvar.

Captura de tela da guia Conectividade das Configurações de rede do servidor lógico, com o menu suspenso Versão mínima do TLS selecionado.

Identificar conexões de cliente

Use o portal do Azure e os logs de auditoria do SQL para identificar clientes que estiverem se conectando pelo TLS 1.0 e 1.0.

No portal do Azure, acesse Métricas em Monitoramento para o recurso de banco de dados e filtre por Conexões bem-sucedidas e Versões do TLS = 1.0 e 1.1:

Captura de tela da página de monitoramento do recurso de banco de dados no portal do Azure com conexões TLS 1.0 e 1.1 bem-sucedidas filtradas.

Consulte também sys.fn_get_audit_file diretamente no banco de dados para exibir o client_tls_version_name no arquivo de auditoria:

Captura de tela de um resultado de consulta do arquivo de auditoria mostrando conexões das versões do TLS.

Alterar a política de conexão

Política de conexão determina como os clientes se conectam. É altamente recomendável usar a política de conexão Redirect em relação à política de conexão Proxy para a menor latência e maior taxa de transferência.

É possível alterar a política de conexão usando o portal do Azure, o Azure PowerShell e a CLI do Azure.

É possível alterar a política de conexão para o servidor lógico usando o portal do Azure.

  1. Acesse o portal do Azure. Vá para o servidor lógico no Azure.
  2. Em Segurança, selecione a página Rede.
  3. Escolha a guia Conectividade. Escolha a política de conexão desejada e selecione Salvar.

Captura de tela da guia Conectividade da página Rede, com a Política de conexão selecionada.

Conteúdo relacionado