Configurar a criptografia de tráfego interno do agente e certificados internos
Garantir a segurança das comunicações internas em sua infraestrutura é importante para manter a integridade e a confidencialidade dos dados. Você pode configurar o agente MQTT para criptografar o tráfego interno e os dados. Os certificados de criptografia são gerenciados automaticamente pelo uso do gerenciador de credenciais.
Criptografar o tráfego interno
Importante
Essa configuração requer que você modifique o recurso do Agente. Ele é configurado somente na implantação inicial usando a CLI do Azure ou o portal do Azure. Uma nova implantação será necessária se forem necessárias alterações na configuração do Agente. Para saber mais, confira Personalizar o Agente padrão.
O recurso de tráfego interno criptografado é usado para criptografar o tráfego interno em trânsito entre os pods de front-end e back-end do agente MQTT. Ele é habilitado por padrão ao implantar as Operações do Azure IoT.
Para desabilitar a criptografia, modifique a configuração advanced.encryptInternalTraffic no recurso do Agente. Você só pode executar esta etapa usando o sinalizador --broker-config-file durante a implantação das Operações de IoT com o comando az iot ops create.
Cuidado
Desabilitar a criptografia pode melhorar o desempenho do agente MQTT. Para proteger contra ameaças à segurança, como ataques man-in-the-middle, é altamente recomendável que você mantenha essa configuração habilitada. Desabilite a criptografia somente em ambientes de não produção controlados para teste.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Em seguida, implante operações de IoT usando o comando az iot ops create com o sinalizador --broker-config-file, como o comando a seguir. (Outros parâmetros são omitidos para fins de brevidade.)
az iot ops create ... --broker-config-file <FILE>.json
Certificados internos
Quando a criptografia está habilitada, o agente MQTT usa o gerenciador de certificados para gerar e gerenciar os certificados usados para criptografar o tráfego interno. O gerenciador de certificados renova automaticamente os certificados quando eles expiram. Você pode definir as configurações do certificado, como duração, quando renovar e o algoritmo de chave privada no recurso do Agente. Atualmente, a alteração das configurações do certificado só tem suporte usando o sinalizador --broker-config-file quando você implanta as Operações de IoT usando o comando az iot ops create.
Por exemplo, para definir o certificado duration como 240 horas, o tempo renewBefore para 45 minutos e o privateKeyalgorithm como RSA 2048, prepare um arquivo de configuração do Agente no formato JSON:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Em seguida, implante as Operações de IoT usando o comando az iot ops create com o --broker-config-file <FILE>.json.
Para saber mais, confira Suporte da CLI do Azure para configuração avançada do Agente MQTT e Exemplos do Agente.