Configurar a criptografia de tráfego interno do agente e certificados internos
Garantir a segurança das comunicações internas em sua infraestrutura é importante para manter a integridade e a confidencialidade dos dados. Você pode configurar o agente MQTT para criptografar o tráfego interno e os dados. Os certificados de criptografia são gerenciados automaticamente usando o gerenciador de credenciais.
Criptografar o tráfego interno
Importante
Essa configuração exige a modificação do recurso do Agente e só pode ser definida no momento da implantação inicial com a CLI do Azure ou o portal do Azure. Uma nova implantação será necessária se forem necessárias alterações na configuração do Agente. Para saber mais, confira Personalizar o Agente padrão.
O recurso de tráfego interno criptografado é usado para criptografar o tráfego interno em trânsito entre os pods de front-end e back-end do agente MQTT. Ele é habilitado por padrão ao implantar as Operações do Azure IoT.
Para desabilitar a criptografia, modifique a configuração advanced.encryptInternalTraffic no recurso do Agente. Isso só pode ser feito usando o sinalizador --broker-config-file durante a implantação das Operações de IoT do Azure com o comando az iot ops create.
Cuidado
Desabilitar a criptografia pode melhorar o desempenho do agente MQTT. No entanto, para proteger contra ameaças à segurança, como ataques man-in-the-middle, é altamente recomendável manter essa configuração habilitada. Desabilite apenas a criptografia em ambientes de não produção controlados para teste.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Em seguida, implante as Operações do Azure IoT usando o comando az iot ops create com o sinalizador --broker-config-file, como o seguinte comando (os outros parâmetros foram omitidos por questões de brevidade):
az iot ops create ... --broker-config-file <FILE>.json
Certificados internos
Quando a criptografia está habilitada, o agente usa o gerenciador de certificados para gerar e gerenciar os certificados usados para criptografar o tráfego interno. O gerenciador de certificados renova automaticamente os certificados quando eles expiram. Você pode definir as configurações do certificado, como duração, quando renovar e algoritmo de chave privada no recurso do Agente. Atualmente, só há suporte para a alteração das configurações do certificado usando o sinalizador --broker-config-file quando você implanta as Operações do Azure IoT usando o comando az iot ops create.
Por exemplo, para definir a duração do certificado como 240 horas, renovar antes de 45 minutos e o algoritmo de chave privada como RSA 2048, prepare um arquivo de configuração do Agente no formato JSON:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Em seguida, implante as Operações de IoT do Azure usando o comando az iot ops create com o --broker-config-file <FILE>.json.
Para saber mais, confira Suporte da CLI do Azure para configuração avançada do Agente MQTT e Exemplos do Agente.