Compartir vía


Configuración del cifrado del tráfico interno del agente y los certificados internos

Garantizar la seguridad de las comunicaciones internas dentro de la infraestructura es importante para mantener la integridad y la confidencialidad de los datos. Puede configurar el agente MQTT para cifrar el tráfico interno y los datos. Los certificados de cifrado se administran automáticamente mediante el administrador de credenciales.

Cifrado del tráfico interno

Importante

Esta configuración requiere modificar el recurso de Broker y solo se puede configurar en el momento de la implementación inicial mediante la CLI de Azure o Azure Portal. Se requiere una nueva implementación si se necesitan cambios de configuración de agente. Para más información, consulte Personalización del agente predeterminado.

La característica cifrar tráfico interno se usa para cifrar el tráfico interno en tránsito entre el front-end del agente MQTT y los pods de back-end. Está habilitado de forma predeterminada al implementar Operaciones de IoT de Azure.

Para deshabilitar el cifrado, modifique la configuración advanced.encryptInternalTraffic en el recurso Broker. Esto solo se puede hacer con la marca --broker-config-file durante la implementación de Operaciones de IoT de Azure con el comando az iot ops create.

Precaución

Deshabilitar el cifrado puede mejorar el rendimiento del corredor MQTT. Sin embargo, para protegerse frente a amenazas de seguridad como ataques de tipo intermediario, se recomienda encarecidamente mantener habilitada esta configuración. Deshabilite solo el cifrado en entornos no de producción controlados para las pruebas.

{
  "advanced": {
    "encryptInternalTraffic": "Disabled"
  }
}

A continuación, implemente Operaciones de IoT de Azure mediante el comando az iot ops create con la marca --broker-config-file, como el siguiente comando (se omiten otros parámetros para mayor brevedad):

az iot ops create ... --broker-config-file <FILE>.json

Certificados internos

Cuando el cifrado está habilitado, el agente usa el administrador de certificados para generar y administrar los certificados usados para cifrar el tráfico interno. El administrador de certificados renueva automáticamente los certificados antes de que expiren. Puede configurar las opciones de certificado, como la duración, cuándo renovar y el algoritmo de clave privada en el recurso Broker. Actualmente, el cambio de la configuración del certificado solo se admite mediante la marca --broker-config-file al implementar las Operaciones de IoT de Azure mediante el comando az iot ops create.

Por ejemplo, para establecer la duración del certificado en 240 horas, renueve antes de 45 minutos y algoritmo de clave privada en RSA 2048, prepare un archivo de configuración de Broker en formato JSON:

{
  "advanced": {
    "encryptInternalTraffic": "Enabled", 
    "internalCerts": {
      "duration": "240h",
      "renewBefore": "45m",
      "privateKey": {
        "algorithm": "Rsa2048",
        "rotationPolicy": "Always"
      }
    }
  }
}

A continuación, implemente Operaciones de IoT de Azure mediante el comando az iot ops create con --broker-config-file <FILE>.json.

Para más información, consulte Compatibilidad de la CLI de Azure con la configuración avanzada del corredor MQTT y Ejemplos de Broker.

Pasos siguientes