broker 내부 트래픽 및 내부 인증서의 암호화 구성
데이터 무결성 및 기밀성을 유지하려면 인프라 내에서 내부 통신의 보안을 유지하는 것이 중요합니다. 내부 트래픽 및 데이터를 암호화하도록 MQTT broker를 구성할 수 있습니다. 암호화 인증서는 자격 증명 관리자를 사용하여 자동으로 관리됩니다.
내부 트래픽 암호화
Important
이 설정을 사용하려면 Broker 리소스를 수정해야 합니다. Azure CLI 또는 Azure Portal을 사용하여 초기 배포 시만 구성됩니다. 브로커 구성 변경이 필요한 경우 새 배포가 필요합니다. 자세한 내용은 기본 Broker 사용자 지정을 참조하세요.
내부 트래픽 암호화 기능은 MQTT broker 프런트 엔드와 백 엔드 Pod 간의 전송 중인 내부 트래픽을 암호화하는 데 사용됩니다. Azure IoT Operations를 배포할 때 기본적으로 사용하도록 설정됩니다.
암호화를 사용하지 않도록 설정하려면 Broker 리소스에서 설정을 수정 advanced.encryptInternalTraffic 합니다. 명령을 사용하여 IoT Operations를 배포하는 --broker-config-file 동안에만 플래그를 사용하여 이 단계를 수행할 수 있습니다 az iot ops create .
주의
암호화를 사용하지 않도록 설정하면 MQTT Broker 성능이 향상될 수 있습니다. 맨 인 더 미들 공격과 같은 보안 위협으로부터 보호하려면 이 설정을 사용하도록 유지하는 것이 좋습니다. 테스트를 위해 제어된 비프로덕션 환경에서만 암호화를 사용하지 않도록 설정합니다.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
그런 다음, 다음 명령과 같이 플래그가 있는 --broker-config-file 명령을 사용하여 az iot ops create IoT 작업을 배포합니다. (간단히 하기 위해 다른 매개 변수는 생략됩니다.)
az iot ops create ... --broker-config-file <FILE>.json
내부 인증서
암호화를 사용하도록 설정하면 MQTT broker는 cert-manager를 사용하여 내부 트래픽을 암호화하는 데 사용되는 인증서를 생성하고 관리합니다. 인증서 관리자는 만료되면 인증서를 자동으로 갱신합니다. 기간, 갱신 시기 및 Broker 리소스의 프라이빗 키 알고리즘과 같은 인증서 설정을 구성할 수 있습니다. 현재 인증서 설정 변경은 명령을 사용하여 --broker-config-file IoT 작업을 배포할 때만 플래그를 사용하여 az iot ops create 지원됩니다.
예를 들어 인증서 duration 를 240시간, renewBefore 시간 45분, privateKeyalgorithm RSA 2048로 설정하려면 JSON 형식의 Broker 구성 파일을 준비합니다.
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
그런 다음 명령을 사용하여 IoT Operations를 az iot ops create--broker-config-file <FILE>.json배포합니다.
자세한 내용은 고급 MQTT broker 구성 및 Broker 예제에 대한 Azure CLI 지원을 참조하세요.