Konfigurace šifrování interního provozu zprostředkovatele a interních certifikátů
Zajištění zabezpečení interní komunikace v rámci vaší infrastruktury je důležité pro zachování integrity a důvěrnosti dat. Zprostředkovatele MQTT můžete nakonfigurovat tak, aby šifrovali interní provoz a data. Šifrovací certifikáty se automaticky spravují pomocí správce přihlašovacích údajů.
Šifrování interního provozu
Důležité
Toto nastavení vyžaduje úpravu prostředku zprostředkovatele. Konfiguruje se pouze při počátečním nasazení pomocí Azure CLI nebo webu Azure Portal. Pokud jsou potřeba změny konfigurace zprostředkovatele, vyžaduje se nové nasazení. Další informace najdete v tématu Přizpůsobení výchozího zprostředkovatele.
Funkce šifrování interního provozu slouží k šifrování interního provozu přenášeného mezi front-endem zprostředkovatele MQTT a back-endovými pody. Při nasazování operací Azure IoT je ve výchozím nastavení povolená.
Chcete-li zakázat šifrování, upravte advanced.encryptInternalTraffic nastavení v prostředku zprostředkovatele. Tento krok můžete provést pouze pomocí příznaku --broker-config-fileaz iot ops create během nasazování operací IoT pomocí příkazu.
Upozornění
Zakázání šifrování může zlepšit výkon zprostředkovatele MQTT. Pokud chcete chránit před bezpečnostními hrozbami, jako jsou útoky typu man-in-the-middle, důrazně doporučujeme toto nastavení zachovat. Zakažte šifrování jenom v řízeném neprodukčním prostředí pro účely testování.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Potom pomocí příkazu s --broker-config-file příznakem az iot ops create nasaďte operace IoT, jako je následující příkaz. (Pro stručnost nejsou vynechány další parametry.)
az iot ops create ... --broker-config-file <FILE>.json
Interní certifikáty
Pokud je šifrování povolené, zprostředkovatel MQTT používá nástroj cert-manager ke generování a správě certifikátů používaných k šifrování interního provozu. Cert-manager automaticky obnoví certifikáty, jakmile vyprší jejich platnost. Nastavení certifikátu, jako je doba trvání, kdy se má prodloužit, a algoritmus privátního klíče v prostředku zprostředkovatele můžete nakonfigurovat. V současné době se změna nastavení certifikátu podporuje pouze pomocí příznaku --broker-config-file při nasazování operací IoT pomocí az iot ops create příkazu.
Pokud chcete například nastavit certifikát duration na 240 hodin, renewBefore dobu 45 minut a privateKeyalgorithm hodnotu RSA 2048, připravte konfigurační soubor zprostředkovatele ve formátu JSON:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Pak nasaďte operace IoT pomocí az iot ops create příkazu s --broker-config-file <FILE>.json.
Další informace najdete v tématu Podpora Azure CLI pro pokročilou konfiguraci zprostředkovatele MQTT a příklady zprostředkovatele.