Partilhar via

Configurar a criptografia do tráfego interno do broker e certificados internos

  • Artigo

Garantir a segurança das comunicações internas dentro da sua infraestrutura é importante para manter a integridade e a confidencialidade dos dados. Você pode configurar o broker MQTT para criptografar o tráfego interno e os dados. Os certificados de criptografia são gerenciados automaticamente usando o gerenciador de credenciais.

Criptografar tráfego interno

Importante

Essa configuração requer que você modifique o recurso Broker. Ele é configurado somente na implantação inicial usando a CLI do Azure ou o portal do Azure. Uma nova implantação será necessária se forem necessárias alterações na configuração do Broker. Para saber mais, consulte Personalizar o corretor padrão.

O recurso criptografar tráfego interno é usado para criptografar o tráfego interno em trânsito entre o frontend do agente MQTT e os pods de back-end. Ele é habilitado por padrão quando você implanta as Operações do Azure IoT.

Para desativar a criptografia, modifique a advanced.encryptInternalTraffic configuração no recurso Broker. Você pode fazer essa etapa somente usando o sinalizador --broker-config-file durante a implantação das Operações IoT com o az iot ops create comando.

Atenção

A desativação da criptografia pode melhorar o desempenho do broker MQTT. Para se proteger contra ameaças à segurança, como ataques man-in-the-middle, recomendamos vivamente que mantenha esta definição ativada. Desative a criptografia somente em ambientes controlados que não sejam de produção para teste.

{
  "advanced": {
    "encryptInternalTraffic": "Disabled"
  }
}

Em seguida, implante as Operações IoT usando o az iot ops create comando com o --broker-config-file sinalizador, como o comando a seguir. (Outros parâmetros são omitidos por uma questão de brevidade.)

az iot ops create ... --broker-config-file <FILE>.json

Certificados internos

Quando a criptografia está habilitada, o broker MQTT usa cert-manager para gerar e gerenciar os certificados usados para criptografar o tráfego interno. O Cert-manager renova automaticamente os certificados quando eles expiram. Você pode definir configurações de certificado como duração, quando renovar e o algoritmo de chave privada no recurso Broker. Atualmente, a alteração das configurações do certificado é suportada apenas usando o --broker-config-file sinalizador quando você implanta Operações IoT usando o az iot ops create comando.

Por exemplo, para definir o certificado duration para 240 horas, o renewBefore tempo para 45 minutos e o RSA privateKeyalgorithm 2048, prepare um arquivo de configuração do Broker no formato JSON:

{
  "advanced": {
    "encryptInternalTraffic": "Enabled", 
    "internalCerts": {
      "duration": "240h",
      "renewBefore": "45m",
      "privateKey": {
        "algorithm": "Rsa2048",
        "rotationPolicy": "Always"
      }
    }
  }
}

Em seguida, implante Operações IoT usando o az iot ops create comando com --broker-config-file <FILE>.json.

Para saber mais, consulte Suporte da CLI do Azure para configuração avançada do agente MQTT e exemplos de Broker.

Conteúdos relacionados