Segurança e privacidade para o portal de gestão de nuvens
Aplica-se a: Configuration Manager (ramo atual)
Este artigo inclui informações de segurança e privacidade para o Gateway de gestão de nuvem do Gestor de Configuração (CMG). Para mais informações, consulte a visão geral do gateway de gestão de nuvens.
Detalhes de segurança
O CMG aceita e gere as ligações a partir de pontos de ligação CMG. Utiliza a autenticação mútua utilizando certificados e iDs de ligação.
A CMG aceita e encaminha os pedidos do cliente utilizando os seguintes métodos:
Pré-autentica as ligações utilizando HTTPS mútuo com o certificado de autenticação do cliente baseado em PKI ou Azure Ative Directory (Azure AD).
O IIS nas instâncias cmg VM verifica o caminho do certificado com base nos certificados de raiz fidedignos que envia para a CMG.
Se permitir a revogação do certificado, o IIS na instância VM também verifica a revogação do certificado do cliente. Para mais informações, consulte Publicar a lista de revogação do certificado.
A lista de fiduciamento de certificados (CTL) verifica a raiz do certificado de autenticação do cliente. Também faz a mesma validação que o ponto de gestão para o cliente. Para mais informações, consulte as entradas de Revisão na lista de fidedignidades do site.
Valida e filtra os pedidos do cliente (URLs) para verificar se qualquer ponto de ligação CMG pode servir o pedido.
Verifica o comprimento do conteúdo de cada ponto final de publicação.
Usa o comportamento de robin redondo para equilibrar pontos de ligação CMG no mesmo site.
O ponto de ligação CMG utiliza os seguintes métodos:
Constrói ligações HTTPS/TCP consistentes a todas as instâncias VM da CMG. Verifica e mantém estas ligações a cada minuto.
Utiliza a autenticação mútua com a CMG através de certificados.
Reencaminha pedidos de clientes com base em mapeamentos de URL.
Relatórios estado de ligação para mostrar o estado de saúde do serviço na consola.
Reporta tráfego por ponto final a cada cinco minutos.
A partir da versão 2010, o Gestor de Configuração roda a chave de conta de armazenamento para o CMG. Este processo acontece automaticamente a cada 180 dias.
Funções viradas para o cliente do Gestor de Configuração
O ponto de gestão e a atualização de pontos de atualização de software são pontos finais no IIS para solicitar o serviço ao cliente. O CMG não expõe todos os pontos finais internos. Cada ponto final publicado para a CMG tem um mapeamento URL.
O URL externo é aquele que o cliente utiliza para comunicar com a CMG.
O URL interno é o ponto de ligação CMG utilizado para encaminhar pedidos para o servidor interno.
Exemplo de mapeamento de URL
Quando ativa o tráfego de CMG num ponto de gestão, o Gestor de Configuração cria um conjunto interno de mapeamentos de URL para cada servidor de ponto de gestão. Por exemplo: ccm_system, ccm_incoming e sms_mp. O URL externo para o ponto de gestão ccm_system ponto final pode parecer:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
O URL é único para cada ponto de gestão. O cliente Do Gestor de Configuração coloca então o nome do ponto de gestão ativado pela CMG na sua lista de pontos de gestão de internet. Este nome parece:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
O site envia automaticamente todos os URLs externos publicados para a CMG. Este comportamento permite que o CMG faça a filtragem de URL. Todos os mapeamentos de URL replicam-se ao ponto de ligação CMG. Em seguida, reencaminha a comunicação para servidores internos de acordo com o URL externo a partir do pedido do cliente.
Diretrizes de segurança
Publicar a lista de revogação do certificado
Publique a lista de revogação de certificados do seu PKI (CRL) para que os clientes baseados na Internet tenham acesso. Ao implementar um CMG utilizando o PKI, configuure o serviço para Verificar a revogação do certificado do cliente no separador Definições. Esta definição configura o serviço para utilizar um CRL publicado. Para obter mais informações, consulte Plano de revogação do certificado PKI.
Esta opção CMG verifica o certificado de autenticação do cliente.
Se o cliente estiver a utilizar a autenticação baseada em Azure AD ou o Gestor de Configuração, o CRL não importa.
Se utilizar o PKI e publicar externamente o CRL, então ative esta opção (recomendada).
Se utilizar o PKI, não publique o CRL e desative esta opção.
Se configurar mal esta opção, pode causar mais tráfego dos clientes para a CMG. Este tráfego pode aumentar os dados da saída do Azure, o que pode aumentar os seus custos Azure.
Rever entradas na lista de fidedignidade de certificados do site
Cada site do Gestor de Configuração inclui uma lista de autoridades de certificação de raiz fidedignas, a lista de fiéis de certificado (CTL). Ver e modificar a lista indo para o espaço de trabalho da Administração, expandir a configuração do site e selecionar Sites. Selecione um site e, em seguida, selecione Propriedades na fita. Mude para o separador de Segurança da Comunicação e, em seguida, selecione Definir sob as Autoridades de Certificação de Raiz Fidedigna.
Utilize um CTL mais restritivo para um site com um CMG utilizando a autenticação do cliente PKI. Caso contrário, os clientes com certificados de autenticação do cliente emitidos por qualquer raiz fidedigna que já exista no ponto de gestão são automaticamente aceites para registo de clientes.
Este subconjunto proporciona aos administradores um maior controlo sobre a segurança. A CTL restringe o servidor a apenas aceitar certificados de cliente emitidos pelas autoridades de certificação da CTL. Por exemplo, Windows navios com certificados para muitos fornecedores de certificados públicos e globalmente confiáveis. Por defeito, o computador que executa o IIS confia certificados que cadeia a estas conhecidas autoridades de certificados (CA). Sem configurar o IIS com um CTL, qualquer computador que tenha um certificado de cliente emitido a partir destes CAs é aceite como um cliente gestor de configuração válido. Se configurar o IIS com um CTL que não incluiu estes CAs, as ligações do cliente são recusadas se o certificado acorrentado a estes CAs.
Impor TLS 1.2
Utilize a definição cmg para impor o TLS 1.2. Aplica-se apenas ao VM de serviço em nuvem Azure. Não se aplica a nenhum servidor de site do Gestor de Configuração no local ou clientes.
Para obter mais informações sobre o TLS 1.2, consulte Como ativar o TLS 1.2.
Utilize a autenticação baseada em fichas
Se tiver dispositivos que tenham uma ou mais das seguintes condições, considere utilizar a autenticação baseada em fichas do Gestor de Configuração:
- Um dispositivo baseado na Internet que não se liga frequentemente à rede interna
- O dispositivo não é capaz de se juntar a Azure AD
- Não tem um método para instalar um certificado emitido por PKI
Com a autenticação baseada em fichas, o site emite automaticamente fichas para dispositivos que se registem na rede interna. Pode criar um sinal de registo a granel para dispositivos baseados na Internet. Para obter mais informações, consulte a autenticação baseada em Token para CMG.