broker 내부 트래픽 및 내부 인증서의 암호화 구성
인프라 내에서 내부 통신의 보안을 보장하는 것은 데이터 무결성 및 기밀성을 유지하는 데 중요합니다. 내부 트래픽 및 데이터를 암호화하도록 MQTT broker를 구성할 수 있습니다. 암호화 인증서는 자격 증명 관리자를 사용하여 자동으로 관리됩니다.
내부 트래픽 암호화
Important
이 설정을 사용하려면 Broker 리소스를 수정해야 하며 Azure CLI 또는 Azure Portal을 사용하여 초기 배포 시에만 구성할 수 있습니다. 브로커 구성 변경이 필요한 경우 새 배포가 필요합니다. 자세한 내용은 기본 Broker 사용자 지정을 참조하세요.
내부 트래픽 암호화 기능은 MQTT broker 프런트 엔드와 백 엔드 Pod 간의 전송 중인 내부 트래픽을 암호화하는 데 사용됩니다. Azure IoT Operations를 배포할 때 기본적으로 사용하도록 설정됩니다.
암호화를 사용하지 않도록 설정하려면 Broker 리소스에서 설정을 수정 advanced.encryptInternalTraffic 합니다. 이 작업은 명령을 사용하여 Azure IoT Operations를 배포하는 동안에만 플래그를 az iot ops create 사용하여 --broker-config-file 수행할 수 있습니다.
주의
암호화를 사용하지 않도록 설정하면 MQTT Broker 성능이 향상될 수 있습니다. 그러나 맨 인 더 미들 공격과 같은 보안 위협으로부터 보호하려면 이 설정을 사용하도록 유지하는 것이 좋습니다. 테스트용으로 제어된 비프로덕션 환경에서만 암호화를 사용하지 않도록 설정합니다.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
그런 다음, 다음 명령(간결성을 위해 생략된 다른 매개 변수)과 같이 플래그가 있는 --broker-config-file 명령을 사용하여 az iot ops create Azure IoT Operations를 배포합니다.
az iot ops create ... --broker-config-file <FILE>.json
내부 인증서
암호화를 사용하도록 설정하면 broker는 cert-manager를 사용하여 내부 트래픽을 암호화하는 데 사용되는 인증서를 생성하고 관리합니다. 인증서 관리자는 만료되면 인증서를 자동으로 갱신합니다. 갱신 시기와 같은 인증서 설정과 Broker 리소스의 프라이빗 키 알고리즘을 구성할 수 있습니다. 현재 인증서 설정 변경은 명령을 사용하여 Azure IoT 작업을 배포할 때만 플래그를 az iot ops create 사용하여 --broker-config-file 지원됩니다.
예를 들어 인증서 기간을 240시간으로 설정하고 45분 전에 갱신하고 프라이빗 키 알고리즘을 RSA 2048로 설정하려면 JSON 형식의 Broker 구성 파일을 준비합니다.
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
그런 다음, 명령을 사용하여 Azure IoT Operations를 az iot ops create 배포합니다 --broker-config-file <FILE>.json.
자세한 내용은 고급 MQTT broker 구성 및 Broker 예제에 대한 Azure CLI 지원을 참조하세요.