Настройка шифрования внутреннего трафика брокера и внутренних сертификатов
Обеспечение безопасности внутренних коммуникаций в инфраструктуре важно для обеспечения целостности и конфиденциальности данных. Брокер MQTT можно настроить для шифрования внутреннего трафика и данных. Сертификаты шифрования автоматически управляются с помощью диспетчера учетных данных.
Шифрование внутреннего трафика
Внимание
Этот параметр требует изменения ресурса брокера и может быть настроен только во время первоначального развертывания с помощью Azure CLI или портала Azure. Новое развертывание требуется, если необходимы изменения конфигурации брокера. Дополнительные сведения см. в разделе "Настройка брокера по умолчанию".
Функция шифрования внутреннего трафика используется для шифрования внутреннего трафика во время передачи между интерфейсом брокера MQTT и серверными модулями pod. Она включена по умолчанию при развертывании операций Интернета вещей Azure.
Чтобы отключить шифрование, измените advanced.encryptInternalTraffic параметр в ресурсе Брокера. Это можно сделать только с помощью --broker-config-file флага во время развертывания операций Интернета вещей Azure с az iot ops create помощью команды.
Внимание
Отключение шифрования может повысить производительность брокера MQTT. Тем не менее, чтобы защититься от угроз безопасности, таких как атаки типа "злоумышленник в середине", настоятельно рекомендуется включить этот параметр. Отключить шифрование только в управляемых непроизводственных средах для тестирования.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Затем разверните операции Интернета вещей Azure с помощью az iot ops create команды с флагом --broker-config-file , например следующую команду (другие параметры, пропущенные для краткости):
az iot ops create ... --broker-config-file <FILE>.json
Внутренние сертификаты
Если шифрование включено, брокер использует диспетчер сертификатов для создания сертификатов и управления сертификатами, используемыми для шифрования внутреннего трафика. Диспетчер сертификатов автоматически продлевает сертификаты после истечения срока их действия. Параметры сертификата, такие как длительность, при продлении и алгоритме закрытого ключа можно настроить в ресурсе Брокера. В настоящее время изменение параметров сертификата поддерживается только с помощью --broker-config-file флага при развертывании операций Интернета вещей Azure с помощью az iot ops create команды.
Например, чтобы задать длительность сертификата 240 часов, продлить до 45 минут и алгоритм закрытого ключа до RSA 2048, подготовьте файл конфигурации брокера в формате JSON:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Затем разверните операции Интернета вещей Azure с помощью az iot ops create команды --broker-config-file <FILE>.json.
Дополнительные сведения см. в статье о поддержке Azure CLI для расширенных примеров конфигурации брокера MQTT и брокера.