Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Garantizar la seguridad de las comunicaciones internas dentro de una infraestructura es importante para mantener la integridad y la confidencialidad de los datos. Puede configurar el agente MQTT para cifrar el tráfico interno y los datos. Los certificados de cifrado los administra automáticamente el administrador de credenciales.
Cifrado del tráfico interno
Importante
Esta configuración exige la modificación del recurso de Broker. Solo se configura en la implementación inicial mediante la CLI de Azure o Azure Portal. Se requiere una nueva implementación si se necesitan cambios de configuración de agente. Para más información, consulte Personalización del agente predeterminado.
La característica cifrar tráfico interno se usa para cifrar el tráfico interno en tránsito entre el front-end del agente MQTT y los pods de back-end. Está habilitado de forma predeterminada al implementar Operaciones de IoT de Azure.
Para deshabilitar el cifrado, modifique la configuración advanced.encryptInternalTraffic en el recurso Broker. Este paso solo se puede efectuar mediante la marca --broker-config-file durante la implementación de IoT Operations con el comando az iot ops create.
Precaución
Deshabilitar el cifrado puede mejorar el rendimiento del corredor MQTT. Para protegerse frente a amenazas de seguridad como ataques de tipo intermediario, se recomienda encarecidamente mantener habilitada esta configuración. Deshabilite solo el cifrado en entornos que no sean de producción controlados para realizar las pruebas.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Luego, implemente IoT Operations mediante el comando az iot ops create con la marca --broker-config-file, como el siguiente comando (en aras de la concisión se omiten otros parámetros).
az iot ops create ... --broker-config-file <FILE>.json
Certificados internos
Cuando el cifrado está habilitado, el corredor MQTT usa el administrador de certificados para generar y administrar los certificados usados para cifrar el tráfico interno. El administrador de certificados renueva automáticamente los certificados antes de que expiren. Puede configurar las opciones del certificado, como la duración, cuándo se renueva y el algoritmo de clave privada en el recurso de Broker. Actualmente, el cambio de la configuración del certificado solo se admite mediante la marca --broker-config-file al implementar IoT Operations mediante el comando az iot ops create.
Por ejemplo, para establecer el certificado duration en 240 horas, el tiempo de renewBefore en 45 minutos y el privateKeyalgorithm en RSA 2048, prepare un archivo de configuración de Broker en formato JSON:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Después, implemente IoT Operations mediante el comando az iot ops create con --broker-config-file <FILE>.json.
Para más información, consulte compatibilidad de la CLI de Azure con la configuración avanzada del corredor MQTT y ejemplos de Broker.