Konfigurieren der Verschlüsselung des internen Brokerdatenverkehrs und interner Zertifikate
Die Gewährleistung der Sicherheit der internen Kommunikation innerhalb Ihrer Infrastruktur ist wichtig für die Aufrechterhaltung der Datenintegrität und -vertraulichkeit. Sie können den MQTT-Broker so konfigurieren, dass der interne Datenverkehr und die Daten verschlüsselt werden. Verschlüsselungszertifikate werden automatisch über den Berechtigungsnachweis-Manager verwaltet.
Verschlüsseln von internem Datenverkehr
Wichtig
Für diese Einstellung müssen Sie die Brokerressource ändern. Sie ist nur bei der ersten Bereitstellung mithilfe der Azure CLI oder des Azure-Portals konfiguriert. Eine neue Bereitstellung ist erforderlich, wenn Änderungen an der Broker-Konfiguration erforderlich sind. Weitere Informationen finden Sie unter Anpassen des Standardbrokers.
Das Feature encryptInternalTraffic wird verwendet, um den internen Datenverkehr zwischen den Front-End- und Back-End-Pods des MQTT-Brokers zu verschlüsseln. Es ist standardmäßig aktiviert, wenn Sie Azure IoT Einsatz bereitstellen.
Um die Verschlüsselung zu deaktivieren, ändern Sie die advanced.encryptInternalTraffic-Einstellung in der Brokerressource. Dies kann nur mithilfe des Flag --broker-config-file während der Bereitstellung von IoT Einsatz mit dem Befehl az iot ops create erfolgen.
Achtung
Durch deaktivieren der Verschlüsselung kann die MQTT-Brokerleistung verbessert werden. Um vor Sicherheitsbedrohungen wie Man-in-the-Middle-Angriffen zu schützen,sollten Sie diese Einstellung dringend aktiviert lassen. Deaktivieren Sie die Verschlüsselung nur in kontrollierten Nichtproduktionsumgebungen für Tests.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Stellen Sie dann IoT Einsatz mithilfe des Befehls az iot ops create mit dem Flag --broker-config-file bereit, wie beim folgenden Befehl. (Andere Parameter werden aus Platzgründen weggelassen.)
az iot ops create ... --broker-config-file <FILE>.json
Interne Zertifikate
Wenn die Verschlüsselung aktiviert ist, verwendet der MQTT-Broker den Zertifikat-Manager, um die Zertifikate zu generieren und zu verwalten, die zum Verschlüsseln des internen Datenverkehrs verwendet werden. Cert-manager verlängert Zertifikate automatisch, wenn sie ablaufen. Sie können Zertifikateinstellungen wie die Laufzeit, den Zeitpunkt der Verlängerung und den Algorithmus für den privaten Schlüssel in der Broker-Ressource konfigurieren. Wenn Sie IoT Einsatz mit dem Befehl az iot ops create bereitstellen, wird das Ändern von Zertifikateinstellungen derzeit nur unter Verwendung des Flags --broker-config-file unterstützt.
Um beispielsweise die duration des Zertifikats auf 240 Stunden, die renewBefore-Zeit auf 45 Minuten und den privateKeyalgorithm auf RSA 2048 festzulegen, erstellen Sie eine Broker-Konfigurationsdatei im JSON-Format:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Stellen Sie dann IoT Einsatz mithilfe des Befehls az iot ops create mit --broker-config-file <FILE>.json bereit.
Weitere Informationen finden Sie unter Azure CLI-Unterstützung für erweiterte MQTT-Brokerkonfigurationen und Brokerbeispiele.