TLS 与安全

网关通常部署在现场网络边界，安全必须默认开启。本章聚焦 TLS 与安全基线，给出可落地的运维建议与风险边界。

威胁模型（简述）

• 现场网络不可信：中间人、嗅探、重放
• 凭证泄露：token/用户名密码/私钥
• 插件带来的攻击面：依赖与第三方连接器

TLS：你需要做对的 3 件事

1. 证书与私钥的权限边界：文件权限、容器挂载、最小可见范围
2. 轮换能力：证书到期前可替换、可回滚
3. 失败语义：TLS 验证失败时是阻断还是降级？必须明确

证书管理建议

• 生产环境建议把证书作为独立资产管理（可审计、可回滚）
• 避免把私钥写入镜像或提交到仓库
• 对多环境（dev/staging/prod）使用独立 CA/证书链

鉴权与权限控制

• 北向鉴权：MQTT 用户名密码 / token / client cert
• 管理面权限：对配置下发、驱动启停、插件管理等操作进行 RBAC/ABAC（如 Casbin）

下一步阅读

• 故障排查：证书过期、握手失败、链路不通的定位路径