Zabezpieczenia i prywatność bramy zarządzania chmurą
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ten artykuł zawiera informacje o zabezpieczeniach i ochronie prywatności dla bramy zarządzania chmurą Configuration Manager (CMG). Aby uzyskać więcej informacji, zobacz Omówienie bramy zarządzania chmurą.
Szczegóły zabezpieczeń
Cmg akceptuje i zarządza połączeniami z punktów połączenia cmg. Używa uwierzytelniania wzajemnego przy użyciu certyfikatów i identyfikatorów połączeń.
Cmg akceptuje i przekazuje żądania klientów przy użyciu następujących metod:
Wstępnie uwierzytelnia połączenia przy użyciu wzajemnego protokołu HTTPS z certyfikatem uwierzytelniania klienta opartego na infrastrukturze PKI lub identyfikatorem Microsoft Entra.
Usługi IIS na wystąpieniach maszyn wirtualnych cmg weryfikują ścieżkę certyfikatu na podstawie zaufanych certyfikatów głównych przekazanych do usługi CMG.
W przypadku włączenia odwołania certyfikatów usługi IIS w wystąpieniu maszyny wirtualnej również weryfikują odwołanie certyfikatu klienta. Aby uzyskać więcej informacji, zobacz Publikowanie listy odwołania certyfikatów.
Lista zaufania certyfikatów (CTL) sprawdza katalog główny certyfikatu uwierzytelniania klienta. Wykonuje również tę samą walidację co punkt zarządzania klienta. Aby uzyskać więcej informacji, zobacz Przeglądanie wpisów na liście zaufania certyfikatów witryny.
Weryfikuje i filtruje żądania klienta (adresy URL), aby sprawdzić, czy jakikolwiek punkt połączenia cmg może obsługiwać żądanie.
Sprawdza długość zawartości dla każdego punktu końcowego publikowania.
Używa zachowania działania okrężnego do równoważenia obciążenia punktów połączenia cmg w tej samej lokacji.
Punkt połączenia cmg używa następujących metod:
Tworzy spójne połączenia HTTPS/TCP ze wszystkimi wystąpieniami maszyn wirtualnych cmg. Sprawdza i utrzymuje te połączenia co minutę.
Używa uwierzytelniania wzajemnego z cmg przy użyciu certyfikatów.
Przekazuje żądania klientów na podstawie mapowań adresów URL.
Raportuje stan połączenia, aby wyświetlić stan kondycji usługi w konsoli programu .
Raportuje ruch na punkt końcowy co pięć minut.
Configuration Manager obraca klucz konta magazynu dla cmg. Ten proces jest wykonywany automatycznie co 180 dni.
Mechanizmy zabezpieczeń i zabezpieczenia
Zasoby cmg na platformie Azure są częścią platformy Azure jako usługi (PaaS). Są one chronione w taki sam sposób i z taką samą domyślną ochroną jak wszystkie inne zasoby na platformie Azure. Zmiana żadnej z konfiguracji zasobów lub architektury cmg na platformie Azure nie jest obsługiwana. Zmiany te obejmują użycie wszelkiego rodzaju zapory przed cmg do przechwytywania, filtrowania lub przetwarzania ruchu w inny sposób, zanim dotrze do cmg. Cały ruch przeznaczony dla usługi CMG jest przetwarzany za pośrednictwem modułu równoważenia obciążenia platformy Azure. Wdrożenia cmg jako zestaw skalowania maszyn wirtualnych są chronione przez Microsoft Defender for Cloud.
Jednostki usługi i uwierzytelnianie
Jednostki usługi są uwierzytelniane przez rejestrację aplikacji serwera w Microsoft Entra identyfikatorze. Ta aplikacja jest również znana jako aplikacja internetowa. Rejestrację tej aplikacji tworzy się automatycznie podczas tworzenia grupy cmg lub ręcznie przez administratora platformy Azure z wyprzedzeniem. Aby uzyskać więcej informacji, zobacz Ręczne rejestrowanie aplikacji Microsoft Entra dla cmg.
Klucze tajne dla aplikacji platformy Azure są szyfrowane i przechowywane w bazie danych Configuration Manager lokacji. W ramach procesu konfiguracji aplikacja serwera ma uprawnienie Do odczytu danych katalogu do usługi Microsoft interfejs Graph API. Ma również rolę współautora w grupie zasobów hostującej cmg. Za każdym razem, gdy aplikacja musi uzyskiwać dostęp do zasobów, takich jak Microsoft Graph, otrzymuje token dostępu z platformy Azure, którego używa do uzyskiwania dostępu do zasobu w chmurze.
Microsoft Entra identyfikator może automatycznie obracać klucz tajny dla tych aplikacji lub można to zrobić ręcznie. Po zmianie klucza tajnego należy odnowić klucz tajny w Configuration Manager.
Aby uzyskać więcej informacji, zobacz Cel rejestracji aplikacji.
Configuration Manager ról klienckich
Punkty końcowe hosta punktu zarządzania i punktu aktualizacji oprogramowania w usługach IIS obsługują żądania klientów. Cmg nie uwidacznia wszystkich wewnętrznych punktów końcowych. Każdy punkt końcowy opublikowany w grupie cmg ma mapowanie adresu URL.
Zewnętrzny adres URL jest tym, który klient używa do komunikowania się z cmg.
Wewnętrzny adres URL to punkt połączenia cmg używany do przekazywania żądań do serwera wewnętrznego.
Przykład mapowania adresów URL
Po włączeniu ruchu cmg w punkcie zarządzania Configuration Manager tworzy wewnętrzny zestaw mapowań adresów URL dla każdego serwera punktów zarządzania. Na przykład: ccm_system, ccm_incoming i sms_mp. Zewnętrzny adres URL punktu zarządzania ccm_system punktu końcowego może wyglądać następująco:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
Adres URL jest unikatowy dla każdego punktu zarządzania. Następnie klient Configuration Manager umieszcza nazwę punktu zarządzania z obsługą programu CMG na liście punktów zarządzania Internetem. Ta nazwa wygląda następująco:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Witryna automatycznie przekazuje wszystkie opublikowane zewnętrzne adresy URL do usługi CMG. To zachowanie umożliwia usłudze CMG filtrowanie adresów URL. Wszystkie mapowania adresów URL są replikowane do punktu połączenia cmg. Następnie przekazuje komunikację do serwerów wewnętrznych zgodnie z zewnętrznym adresem URL żądania klienta.
Wskazówki dotyczące zabezpieczeń
Publikowanie listy odwołania certyfikatów
Publikowanie listy odwołania certyfikatów infrastruktury kluczy publicznych (CRL) dla klientów internetowych w celu uzyskania dostępu. Podczas wdrażania cmg przy użyciu infrastruktury kluczy publicznych skonfiguruj usługę, aby zweryfikować odwołanie certyfikatu klienta na karcie Ustawienia. To ustawienie konfiguruje usługę do używania opublikowanej listy CRL. Aby uzyskać więcej informacji, zobacz Planowanie odwołania certyfikatów PKI.
Ta opcja cmg weryfikuje certyfikat uwierzytelniania klienta.
Jeśli klient używa identyfikatora Microsoft Entra lub Configuration Manager uwierzytelniania opartego na tokenach, lista CRL nie ma znaczenia.
Jeśli używasz infrastruktury kluczy publicznych i zewnętrznie publikujesz listę CRL, włącz tę opcję (zalecane).
Jeśli używasz infrastruktury kluczy publicznych, nie publikuj listy CRL, a następnie wyłącz tę opcję.
Jeśli ta opcja zostanie błędnie skonfigurowana, może to spowodować większy ruch z klientów do cmg. Ten ruch może zwiększyć liczbę danych wychodzących platformy Azure, co może zwiększyć koszty platformy Azure.
Przeglądanie wpisów na liście zaufania certyfikatów witryny
Każda witryna Configuration Manager zawiera listę zaufanych głównych urzędów certyfikacji, listę zaufania certyfikatów (CTL). Wyświetl i zmodyfikuj listę, przechodząc do obszaru roboczego Administracja , rozwiń węzeł Konfiguracja lokacji i wybierz pozycję Lokacje. Wybierz witrynę, a następnie wybierz pozycję Właściwości na wstążce. Przejdź do karty Zabezpieczenia komunikacji , a następnie wybierz pozycję Ustaw w obszarze Zaufane główne urzędy certyfikacji.
Użyj bardziej restrykcyjnego czasu wygaśnięcia dla lokacji z kluczem cmg przy użyciu uwierzytelniania klienta infrastruktury kluczy publicznych. W przeciwnym razie klienci z certyfikatami uwierzytelniania klienta wystawionymi przez dowolny zaufany katalog główny, który już istnieje w punkcie zarządzania, są automatycznie akceptowani do rejestracji klienta.
Ten podzestaw zapewnia administratorom większą kontrolę nad zabezpieczeniami. Czas wygaśnięcia ogranicza serwer tylko do akceptowania certyfikatów klienta, które są wystawiane przez urzędy certyfikacji w CTL. Na przykład system Windows jest dostarczany z certyfikatami dla wielu publicznych i globalnie zaufanych dostawców certyfikatów. Domyślnie komputer z uruchomionym usługą IIS ufa certyfikatom, które są powiązane z tymi dobrze znanymi urzędami certyfikacji. Bez konfigurowania usług IIS przy użyciu protokołu CTL każdy komputer z certyfikatem klienta wystawionym przez te urzędy certyfikacji jest akceptowany jako prawidłowy klient Configuration Manager. Jeśli skonfigurujesz usługi IIS z certyfikatem CTL, który nie zawiera tych urzędów certyfikacji, połączenia klienta zostaną odrzucone, jeśli certyfikat jest połączony z tymi urzędami certyfikacji.
Wymuszanie protokołu TLS 1.2
Użyj ustawienia CMG, aby wymusić protokół TLS 1.2. Dotyczy tylko maszyny wirtualnej usługi w chmurze platformy Azure. Nie ma zastosowania do żadnych lokalnych serwerów Configuration Manager lokacji ani klientów.
Począwszy od wersji 2107 z pakietem zbiorczym aktualizacji, to ustawienie dotyczy również konta magazynu cmg.
Aby uzyskać więcej informacji na temat protokołu TLS 1.2, zobacz Jak włączyć protokół TLS 1.2.
Korzystanie z uwierzytelniania opartego na tokenach
Jeśli masz urządzenia z co najmniej jednym z następujących warunków, rozważ użycie Configuration Manager uwierzytelniania opartego na tokenach:
- Urządzenie internetowe, które często nie łączy się z siecią wewnętrzną
- Urządzenie nie może dołączyć Microsoft Entra identyfikatora
- Nie masz metody instalowania certyfikatu wystawionego przez infrastrukturę kluczy publicznych
W przypadku uwierzytelniania opartego na tokenach witryna automatycznie wystawia tokeny dla urządzeń, które rejestrują się w sieci wewnętrznej. Możesz utworzyć token rejestracji zbiorczej dla urządzeń internetowych. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie oparte na tokenach dla usługi CMG.