Versleuteling van intern brokerverkeer en interne certificaten configureren
Het waarborgen van de beveiliging van interne communicatie binnen uw infrastructuur is belangrijk om de integriteit en vertrouwelijkheid van gegevens te behouden. U kunt de MQTT-broker configureren om intern verkeer en gegevens te versleutelen. Versleutelingscertificaten worden automatisch beheerd met behulp van referentiebeheer.
Intern verkeer versleutelen
Belangrijk
Voor deze instelling moet u de Broker-resource wijzigen. Deze wordt alleen geconfigureerd bij de eerste implementatie met behulp van de Azure CLI of Azure Portal. Er is een nieuwe implementatie vereist als brokerconfiguratiewijzigingen nodig zijn. Zie Standaardbroker aanpassen voor meer informatie.
De functie voor het versleutelen van intern verkeer wordt gebruikt voor het versleutelen van het interne verkeer tussen de front-end van de MQTT-broker en back-endpods. Deze functie wordt standaard ingeschakeld wanneer u Azure IoT Operations implementeert.
Als u versleuteling wilt uitschakelen, wijzigt u de advanced.encryptInternalTraffic instelling in de Broker-resource. U kunt deze stap alleen uitvoeren met behulp van de --broker-config-file vlag tijdens de implementatie van IoT-bewerkingen met de az iot ops create opdracht.
Let op
Het uitschakelen van versleuteling kan de prestaties van MQTT-broker verbeteren. Om te beschermen tegen beveiligingsrisico's, zoals man-in-the-middle-aanvallen, raden we u ten zeerste aan deze instelling ingeschakeld te houden. Schakel versleuteling alleen uit in gecontroleerde niet-productieomgevingen voor testen.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Implementeer vervolgens IoT-bewerkingen met behulp van de az iot ops create opdracht met de --broker-config-file vlag, zoals de volgende opdracht. (Andere parameters worden weggelaten voor beknoptheid.)
az iot ops create ... --broker-config-file <FILE>.json
Interne certificaten
Wanneer versleuteling is ingeschakeld, gebruikt de MQTT-broker certificaatbeheer om de certificaten te genereren en te beheren die worden gebruikt voor het versleutelen van het interne verkeer. Certificaatbeheer vernieuwt certificaten automatisch wanneer ze verlopen. U kunt certificaatinstellingen configureren, zoals duur, wanneer moet worden vernieuwd en het algoritme voor de persoonlijke sleutel in de Broker-resource. Op dit moment wordt het wijzigen van de certificaatinstellingen alleen ondersteund met behulp van de --broker-config-file vlag wanneer u IoT-bewerkingen implementeert met behulp van de az iot ops create opdracht.
Als u bijvoorbeeld het certificaat duration wilt instellen op 240 uur, de renewBefore tijd tot 45 minuten en rsA privateKeyalgorithm 2048, bereidt u een Broker-configuratiebestand voor in JSON-indeling:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Implementeer vervolgens IoT-bewerkingen met behulp van de az iot ops create opdracht met --broker-config-file <FILE>.json.
Zie De Ondersteuning van Azure CLI voor geavanceerde MQTT Broker-configuratie en Broker-voorbeelden voor meer informatie.