Настройка шифрования внутреннего трафика брокера и внутренних сертификатов
Обеспечение безопасности внутренних коммуникаций в инфраструктуре важно для обеспечения целостности и конфиденциальности данных. Брокер MQTT можно настроить для шифрования внутреннего трафика и данных. Сертификаты шифрования автоматически управляются с помощью диспетчера учетных данных.
Шифрование внутреннего трафика
Внимание
Для этого параметра требуется изменить ресурс брокера. Он настраивается только при первоначальном развертывании с помощью Azure CLI или портал Azure. Новое развертывание требуется, если необходимы изменения конфигурации брокера. Дополнительные сведения см. в разделе "Настройка брокера по умолчанию".
Функция шифрования внутреннего трафика используется для шифрования внутреннего трафика во время передачи между интерфейсом брокера MQTT и серверными модулями pod. Она включена по умолчанию при развертывании операций Интернета вещей Azure.
Чтобы отключить шифрование, измените advanced.encryptInternalTraffic параметр в ресурсе Брокера. Этот шаг можно выполнить только с помощью --broker-config-file флага во время развертывания операций Интернета вещей с az iot ops create помощью команды.
Внимание
Отключение шифрования может повысить производительность брокера MQTT. Чтобы защититься от угроз безопасности, таких как атаки типа "злоумышленник в середине", настоятельно рекомендуется включить этот параметр. Отключите шифрование только в управляемых непроизводственных средах для тестирования.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Затем разверните операции Интернета вещей с помощью az iot ops create команды с флагом --broker-config-file , как показано ниже. (Другие параметры опущены для краткости.)
az iot ops create ... --broker-config-file <FILE>.json
Внутренние сертификаты
Если шифрование включено, брокер MQTT использует диспетчер сертификатов для создания сертификатов и управления сертификатами, используемыми для шифрования внутреннего трафика. Диспетчер сертификатов автоматически продлевает сертификаты после истечения срока их действия. Вы можете настроить такие параметры сертификата, как длительность, когда следует обновить и алгоритм закрытого ключа в ресурсе брокера. В настоящее время изменение параметров сертификата поддерживается только с помощью флага --broker-config-file при развертывании операций Интернета вещей с помощью az iot ops create команды.
Например, чтобы задать для сертификата duration значение 240 часов, renewBefore время 45 минут и privateKeyalgorithm RSA 2048, подготовьте файл конфигурации брокера в формате JSON:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Затем разверните операции Интернета вещей с помощью az iot ops create команды --broker-config-file <FILE>.json.
Дополнительные сведения см. в статье о поддержке Azure CLI для расширенных примеров конфигурации брокера MQTT и брокера.