Siamo lieti di annunciare il rilascio di Watersatream 1.6.0, una release focalizzata su tre aree strategiche: integrazione nativa con l’ecosistema di identità Microsoft Azure, rafforzamento della postura di sicurezza SSL e un’infrastruttura container più versatile e verificabile. Ecco cosa cambia nel dettaglio.

Autenticazione zero-trust con Azure Event Hubs

Un cambiamento importante relativamente alla nuova versione riguarda il piano di autenticazione. Waterstream 1.6.0 introduce infatti il supporto nativo al meccanismo OAUTHBEARER, abilitando l’autenticazione verso Azure Event Hubs tramite Azure Active Directory (Entra ID). Nessuna password statica, nessuna stringa di connessione da ruotare manualmente: i token OAuth2 di Entra ID sono time-limited e legati all’identità del servizio.

Per le aziende che operano su Azure, questo si traduce in una riduzione concreta del rischio operativo: eliminare le credenziali statiche significa eliminare una delle principali cause di data breach nei sistemi IoT enterprise.

Il broker Waterstream in esecuzione su VM o Azure Kubernetes può autenticarsi su Event Hubs usando la Managed Identity, senza credenziali configurate a livello applicativo. In pratica, l’intera catena — dispositivo MQTT → broker → Event Hubs — opera con token Azure AD, eliminando la superficie di attacco legata alle credenziali statiche.

Il flusso è il seguente: il dispositivo IoT si connette a Waterstream via MQTT, il broker ottiene un token OAuth2 da Entra ID tramite Managed Identity e lo usa per autenticarsi su Event Hubs prima di inoltrarvi ogni messaggio. Ogni connessione viene validata tramite Entra ID, garantendo un audit trail completo integrato con le policy di accesso condizionale di Azure AD.

Vale la pena precisare che il supporto OAUTHBEARER per i client MQTT stessi, ovvero la possibilità che un dispositivo si connetta direttamente a Waterstream presentando un token Entra ID è in sviluppo e arriverà con la versione 1.7.0, insieme all’integrazione con MFA e compliance enterprise.

Docker Multi-Arch e Supply Chain Security

Waterstream 1.6.0 pubblica un manifest-list Docker unificato che include sia l’architettura x86_64 che ARM64.

Per i team che eseguono deployment su AWS Graviton, Raspberry Pi o dispositivi edge eterogenei, questo significa un’unica istruzione docker pull, senza dover specificare tag o registri separati per architettura. Il runtime seleziona automaticamente l’immagine corretta.

Sul fronte della supply chain security, le immagini sono ora firmate per digest: prima di ogni deployment in produzione è possibile verificare crittograficamente che l’immagine non sia stata alterata rispetto a quella pubblicata. Questo soddisfa i requisiti SLSA e le policy enterprise di sicurezza container, un requisito sempre più comune negli ambienti regolamentati.

La release include inoltre patch di sicurezza critiche per le librerie di rete e crittografia, mantenendo l’intera superficie del container allineata agli standard di hardening più recenti.

Il supporto multi-arch riduce la complessità operativa e abbassa il costo di gestione del ciclo di vita delle immagini. Le immagini firmate, inoltre, sono oggi un requisito esplicito in molti processi di vendor assessment enterprise e audit di sicurezza.

L’upgrade da versioni precedenti non richiede alcuna modifica: il manifest-list è trasparente al pull per gli utenti esistenti, con zero downtime.

SSL Hardening e Aggiornamenti di Sicurezza

Waterstream 1.6.0 aggiunge una nuova opzione di configurazione per la verifica del hostname nelle connessioni SSL client. In deployment con certificati personalizzati o self-signed, questa funzionalità previene attacchi man-in-the-middle che potrebbero passare inosservati in assenza di una validazione esplicita del nome host.

A complemento, il codice interno ha ricevuto un ciclo di pulizia con rimozione del codice morto e sostituzione delle API deprecate, migliorando stabilità e manutenibilità a lungo termine.

Negli ambienti regolamentati, la capacità di dimostrare che ogni componente del broker è aggiornato è parte integrante dei requisiti di compliance. Waterstream 1.6.0 affronta questo punto in modo sistematico, riducendo l’effort di verifica in fase di audit.

Sicurezza, Versatilità e Nuove Opportunità

La traiettoria è chiara: Waterstream 1.6.0 getta le fondamenta per un‘integrazione ancora più profonda con l’ecosistema Azure.

La prossima release completerà il supporto OAUTHBEARER lato client MQTT, permettendo a qualsiasi dispositivo compatibile di connettersi direttamente al broker presentando un token Entra ID, senza proxy e adattatori intermedi.

Si aggiungerà l’integrazione nativa con le policy di accesso condizionale, MFA e audit log di Azure AD, aprendo le porte agli ambienti regolamentati in ambito finance e healthcare.

Approfondisci tutte le funzionalità nella documentazione ufficiale e contattaci per una valutazione più dettagliata sul tuo caso d’uso specifico.