Partager via

Configurer le chiffrement du trafic interne et les certificats internes de l’Agent

  • Article

La garantie de la sécurité des communications internes au sein de votre infrastructure est importante pour maintenir l’intégrité et la confidentialité des données. Vous pouvez configurer l’Agent MQTT pour chiffrer le trafic interne et les données. Les certificats de chiffrement sont automatiquement gérés avec le gestionnaire d’informations d’identification.

Chiffrer le trafic interne

Important

Ce paramètre nécessite la modification de la ressource d’Agent et peut être configuré uniquement au moment du déploiement initial, en utilisant Azure CLI ou le portail Azure. S’il est nécessaire de modifier la configuration Broker, un nouveau déploiement est requis. Pour en savoir plus, consultez Personnaliser l’Agent par défaut.

La fonctionnalité Chiffrer le trafic interne est utilisée pour chiffrer le trafic interne en transit entre les pods front-end et back-end de l’Agent MQTT. Elle est activée par défaut quand vous déployez Opérations Azure IoT.

Pour désactiver le chiffrement, modifiez le paramètre advanced.encryptInternalTraffic dans la ressource d’Agent. Cela peut uniquement être effectué en utilisant l’indicateur --broker-config-file pendant le déploiement d’Opérations Azure IoT avec la commande az iot ops create.

Attention

La désactivation du chiffrement peut améliorer les performances de l’Agent MQTT. Toutefois, pour vous protéger contre les menaces de sécurité comme les attaques d’intercepteur, nous vous recommandons vivement de maintenir ce paramètre activé. Désactivez uniquement le chiffrement dans des environnements hors production contrôlés destinés aux tests.

{
  "advanced": {
    "encryptInternalTraffic": "Disabled"
  }
}

Ensuite, déployez Opérations Azure IoT en utilisant la commande az iot ops create avec l’indicateur --broker-config-file, comme la commande suivante (les autres paramètres sont omis pour rester concis) :

az iot ops create ... --broker-config-file <FILE>.json

Certificats internes

Quand le chiffrement est activé, l’Agent utilise le gestionnaire de certificats pour générer et gérer les certificats de chiffrement du trafic interne. Le gestionnaire de certificats renouvelle automatiquement les certificats avant leur expiration. Vous pouvez configurer les paramètres de certificat, comme la durée, le moment de renouvellement et l’algorithme de clé privée dans la ressource d’Agent. Actuellement, le changement des paramètres de certificat est pris en charge uniquement avec l’indicateur --broker-config-file quand vous déployez Opérations Azure IoT avec la commande az iot ops create.

Par exemple, pour définir la durée du certificat sur 240 heures, le renouvellement avant 45 minutes et l’algorithme de clé privée sur RSA 2048, préparez un fichier de configuration d’Agent au format JSON :

{
  "advanced": {
    "encryptInternalTraffic": "Enabled", 
    "internalCerts": {
      "duration": "240h",
      "renewBefore": "45m",
      "privateKey": {
        "algorithm": "Rsa2048",
        "rotationPolicy": "Always"
      }
    }
  }
}

Ensuite, déployez Opérations Azure IoT en utilisant la commande az iot ops create avec --broker-config-file <FILE>.json.

Pour en savoir plus, consultez Prise en charge d’Azure CLI pour la configuration avancée de l’Agent MQTT et Exemples d’Agent.

Étapes suivantes