Konfigurace šifrování interního provozu zprostředkovatele a interních certifikátů
Zajištění zabezpečení interní komunikace v rámci vaší infrastruktury je důležité pro zachování integrity a důvěrnosti dat. Zprostředkovatele MQTT můžete nakonfigurovat tak, aby šifrovali interní provoz a data. Šifrovací certifikáty se spravují automaticky pomocí správce přihlašovacích údajů.
Šifrování interního provozu
Důležité
Toto nastavení vyžaduje úpravu prostředku zprostředkovatele a dá se nakonfigurovat pouze v počáteční době nasazení pomocí Azure CLI nebo webu Azure Portal. Pokud jsou potřeba změny konfigurace zprostředkovatele, vyžaduje se nové nasazení. Další informace najdete v tématu Přizpůsobení výchozího zprostředkovatele.
Funkce šifrování interního provozu slouží k šifrování interního provozu přenášeného mezi front-endem zprostředkovatele MQTT a back-endovými pody. Při nasazování operací Azure IoT je ve výchozím nastavení povolená.
Chcete-li zakázat šifrování, upravte advanced.encryptInternalTraffic nastavení v prostředku zprostředkovatele. To lze provést pouze pomocí příznaku --broker-config-file během nasazení operací Azure IoT pomocí az iot ops create příkazu.
Upozornění
Zakázání šifrování může zlepšit výkon zprostředkovatele MQTT. Pokud ale chcete chránit před bezpečnostními hrozbami, jako jsou útoky typu man-in-the-middle, důrazně doporučujeme toto nastavení zachovat. Zakažte šifrování jenom v řízeném neprodukčním prostředí pro účely testování.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Pak nasaďte operace Azure IoT pomocí az iot ops create příkazu s příznakem --broker-config-file , jako je následující příkaz (pro stručnost chybí další parametry):
az iot ops create ... --broker-config-file <FILE>.json
Interní certifikáty
Pokud je šifrování povolené, zprostředkovatel používá nástroj cert-manager k vygenerování a správě certifikátů používaných k šifrování interního provozu. Cert-manager automaticky obnoví certifikáty, jakmile vyprší jejich platnost. Nastavení certifikátu, jako je doba trvání, kdy se má obnovit, a algoritmus privátního klíče v prostředku zprostředkovatele můžete nakonfigurovat. V současné době se změna nastavení certifikátu podporuje pouze pomocí příznaku --broker-config-file při nasazování operací Azure IoT pomocí az iot ops create příkazu.
Pokud chcete například nastavit dobu trvání certifikátu na 240 hodin, prodloužit platnost před 45 minutami a algoritmus privátního klíče na RSA 2048, připravte konfigurační soubor zprostředkovatele ve formátu JSON:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Pak nasaďte operace Azure IoT pomocí az iot ops create příkazu s nástrojem --broker-config-file <FILE>.json.
Další informace najdete v tématu Podpora Azure CLI pro pokročilou konfiguraci zprostředkovatele MQTT a příklady zprostředkovatele.