Kako osigurati RabbitMQ?

Question

Accepted Answer

Osiguravanje RabbitMQ-a uključuje **autentifikaciju**, **autorizaciju** (dozvole, vhostove), **šifriranje (TLS)** i **sigurnost mreže** — zaštitu brokera i poruka koje on obrađuje. Razumijevanje sigurnosti RabbitMQ-a važno je za proizvodne implementacije.

## Autentifikacija i autorizacija

```text
✓ AUTHENTICATION → require credentials (users/passwords); don't use the default guest
  account in production (it's restricted to localhost by default — and should be removed/changed)
✓ AUTHORIZATION → grant users PERMISSIONS (configure/write/read) per VHOST → least privilege
  (users access only what they need)
✓ VHOSTS → isolate applications/tenants; scope permissions per vhost
✓ Consider external auth (LDAP, OAuth) for enterprise
```

## Šifriranje (TLS)

```text
✓ TLS → encrypt connections between clients and the broker (and between cluster nodes):
  → protects messages and credentials in transit (no plaintext on the network)
  → important when traffic crosses networks; use certificates
✓ Encrypt sensitive message data (at the application level if needed)
```

## Sigurnost mreže i operativna sigurnost

```text
✓ NETWORK isolation → don't expose RabbitMQ openly to the internet; firewall; private networks
✓ Secure the MANAGEMENT UI/API (it's powerful) → restrict access, use HTTPS
✓ Keep RabbitMQ UPDATED (patches); limit resource use (prevent DoS)
✓ Monitor/audit access; secure inter-node communication in clusters
→ defense in depth: auth + authz + TLS + network isolation
```

## Zašto je to važno

Razumijevanje kako osigurati RabbitMQ je važno znanje viške razine jer **RabbitMQ obrađuje potencijalno osjetljive poruke i predstavlja kritičnu komponentu infrastrukture**, pa je osiguravanje važno za proizvodne implementacije.

Osiguravanje RabbitMQ-a štiti i broker i poruke koje on obrađuje.

Razumijevanje **autentifikacije i autorizacije** — zahtijevanja vjerodajnica i **korištenja default guest računa u produkciji** (podrazumevano je ograničen na localhost i trebao bi biti promijenjen/uklonjen — česta sigurnosna razmatranja), dodjele korisnicima **dozvola s najmanjim privilegijima po vhostu** (configure/write/read pristup samo onome što trebaju), korištenja vhostova za izolaciju i razmatranja eksterne autentifikacije (LDAP, OAuth) — odražava kontrolu pristupa RabbitMQ-u.

Razumijevanje **šifriranja (TLS)** — šifriranja veza između klijenata i brokera (i između čvorova klastera) kako bi se zaštitile poruke i vjerodajnice tijekom prijenosa (bez obične teksti na mreži, važno kada promet prelazi mreže) — odražava zaštitu podataka tijekom prijenosa.

Razumijevanje **sigurnosti mreže i operativne sigurnosti** — mrežne izolacije (neizlaganja RabbitMQ-a otvoreno internetu, korištenja vatrozida i privatnih mreža), **osiguranja upravljačkog sučelja/API-ja** (koji je moćan, pa je potrebno ograničiti pristup i koristiti HTTPS), održavanja RabbitMQ-a ažurnog, ograničenja korištenja resursa (sprječavanje DoS napada) i praćenja pristupa — odražava sveobuhvatnu, obrambenu sigurnost na više slojeva.

Te prakse (autentifikacija, autorizacija s najmanjim privilegijima, TLS, mrežna izolacija, osiguranje upravljačkog sučelja) štite RabbitMQ kao kritičnu komponentu infrastrukture koja obrađuje potencijalno osjetljive poruke.

Razumijevanje sigurnosti RabbitMQ-a odražava odgovornost zaštite infrastrukture poruka u produkciji, gdje neosiguran broker (default vjerodajnice, bez šifriranja, otvoren pristup) predstavlja stvarnu ranjivost.

Budući da RabbitMQ obrađuje potencijalno osjetljive poruke i predstavlja kritičnu infrastrukturu, i budući da je osiguravanje (autentifikacija uključujući izbjegavanje default guest računa, autorizacija s najmanjim privilegijima, TLS šifriranje, mrežna izolacija, osiguranje upravljačkog sučelja) važno za produkciju, i budući da razumijevanje tih praksi odražava odgovornost zaštite infrastrukture poruka, razumijevanje kako osigurati RabbitMQ je važno znanje viške razine — važno za zaštitu RabbitMQ-a (brokera i njegovih poruka) u produkciji kroz autentifikaciju, autorizaciju, TLS i mrežnu izolaciju, odražavajući sigurnosnu odgovornost za infrastrukturu poruka, i neophodno za sigurnu implementaciju RabbitMQ-a.