Configurar a criptografia do tráfego interno do broker e certificados internos
Garantir a segurança das comunicações internas dentro da sua infraestrutura é importante para manter a integridade e a confidencialidade dos dados. Você pode configurar o broker MQTT para criptografar o tráfego interno e os dados. Os certificados de criptografia são gerenciados automaticamente usando o gerenciador de credenciais.
Criptografar tráfego interno
Importante
Essa configuração requer a modificação do recurso do Broker e só pode ser configurada no momento da implantação inicial usando a CLI do Azure ou o Portal do Azure. Uma nova implantação será necessária se forem necessárias alterações na configuração do Broker. Para saber mais, consulte Personalizar o corretor padrão.
O recurso criptografar tráfego interno é usado para criptografar o tráfego interno em trânsito entre o frontend do agente MQTT e os pods de back-end. Ele é habilitado por padrão quando você implanta as Operações do Azure IoT.
Para desativar a criptografia, modifique a advanced.encryptInternalTraffic configuração no recurso Broker. Isso só pode ser feito usando o sinalizador --broker-config-file durante a implantação das Operações IoT do Azure com o az iot ops create comando.
Atenção
A desativação da criptografia pode melhorar o desempenho do broker MQTT. No entanto, para proteger contra ameaças à segurança, como ataques man-in-the-middle, é altamente recomendável manter essa configuração ativada. Desative a criptografia apenas em ambientes controlados que não sejam de produção para testes.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Em seguida, implante as Operações IoT do Azure usando o az iot ops create comando com o --broker-config-file sinalizador, como o seguinte comando (outros parâmetros omitidos para brevidade):
az iot ops create ... --broker-config-file <FILE>.json
Certificados internos
Quando a criptografia está habilitada, o broker usa o cert-manager para gerar e gerenciar os certificados usados para criptografar o tráfego interno. O Cert-manager renova automaticamente os certificados quando eles expiram. Você pode definir as configurações do certificado, como duração, quando renovar e algoritmo de chave privada no recurso Broker. Atualmente, a alteração das configurações de certificado só é suportada usando o --broker-config-file sinalizador quando você implanta as Operações IoT do Azure usando o az iot ops create comando.
Por exemplo, para definir a duração do certificado para 240 horas, renovar antes de 45 minutos e o algoritmo de chave privada para RSA 2048, prepare um arquivo de configuração do Broker no formato JSON:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Em seguida, implante as Operações IoT do Azure usando o az iot ops create comando com o --broker-config-file <FILE>.json.
Para saber mais, consulte Suporte da CLI do Azure para configuração avançada do agente MQTT e exemplos de Broker.