Configurare la crittografia del traffico interno del broker e dei certificati interni
Garantire la sicurezza delle comunicazioni interne all'interno dell'infrastruttura è importante per mantenere l'integrità e la riservatezza dei dati. È possibile configurare il broker MQTT per crittografare il traffico interno e i dati. I certificati di crittografia vengono gestiti automaticamente tramite gestione credenziali.
Crittografare il traffico interno
Importante
Per questa impostazione è necessario modificare la risorsa Broker. Viene configurato solo durante la distribuzione iniziale usando l'interfaccia della riga di comando di Azure o il portale di Azure. Se sono necessarie modifiche alla configurazione di Broker, è necessaria una nuova distribuzione. Per altre informazioni, vedere Personalizzare Broker predefinito.
La funzionalità di crittografia del traffico interno viene usata per crittografare il traffico interno in transito tra il front-end del broker MQTT e i pod back-end. È abilitata per impostazione predefinita quando si distribuiscono le operazioni IoT di Azure.
Per disabilitare la crittografia, modificare l'impostazione advanced.encryptInternalTraffic nella risorsa Broker. È possibile eseguire questo passaggio solo usando il --broker-config-file flag durante la distribuzione delle operazioni IoT con il az iot ops create comando .
Attenzione
La disabilitazione della crittografia può migliorare le prestazioni del broker MQTT. Per proteggersi da minacce alla sicurezza come attacchi man-in-the-middle, è consigliabile mantenere questa impostazione abilitata. Disabilitare la crittografia solo in ambienti non di produzione controllati per i test.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Distribuire quindi operazioni IoT usando il az iot ops create comando con il --broker-config-file flag , come il comando seguente. Altri parametri vengono omessi per brevità.
az iot ops create ... --broker-config-file <FILE>.json
Certificati interni
Quando la crittografia è abilitata, il broker MQTT usa cert-manager per generare e gestire i certificati usati per crittografare il traffico interno. Cert-manager rinnova automaticamente i certificati alla scadenza. È possibile configurare le impostazioni del certificato, ad esempio durata, quando rinnovare e l'algoritmo di chiave privata nella risorsa Broker. Attualmente, la modifica delle impostazioni del certificato è supportata solo usando il --broker-config-file flag quando si distribuiscono operazioni IoT usando il az iot ops create comando .
Ad esempio, per impostare il certificato duration su 240 ore, il renewBefore tempo su 45 minuti e su privateKeyalgorithm RSA 2048, preparare un file di configurazione broker in formato JSON:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Distribuire quindi le operazioni IoT usando il az iot ops create comando con --broker-config-file <FILE>.json.
Per altre informazioni, vedere Supporto dell'interfaccia della riga di comando di Azure per esempi avanzati di configurazione broker MQTT e Broker.