Aracılığıyla paylaş


Bulut yönetimi ağ geçidi için güvenlik ve gizlilik

Uygulama hedefi: Configuration Manager (güncel dalı)

Bu makale, Configuration Manager bulut yönetimi ağ geçidi (CMG) için güvenlik ve gizlilik bilgilerini içerir. Daha fazla bilgi için bkz. Bulut yönetimi ağ geçidine genel bakış.

Güvenlik ayrıntıları

CMG, CMG bağlantı noktalarından bağlantıları kabul eder ve yönetir. Sertifikaları ve bağlantı kimliklerini kullanarak karşılıklı kimlik doğrulaması kullanır.

CMG aşağıdaki yöntemleri kullanarak istemci isteklerini kabul eder ve iletir:

  • PKI tabanlı istemci kimlik doğrulama sertifikası veya Microsoft Entra kimliğiyle karşılıklı HTTPS kullanarak bağlantıların kimliğini önceden doğrular.

    • CMG VM örneklerindeki IIS, CMG'ye yüklediğiniz güvenilen kök sertifikalara göre sertifika yolunu doğrular.

    • Sertifika iptalini etkinleştirirseniz, VM örneğindeki IIS de istemci sertifikası iptalini doğrular. Daha fazla bilgi için bkz. Sertifika iptal listesini yayımlama.

  • Sertifika güven listesi (CTL), istemci kimlik doğrulama sertifikasının kökünü denetler. Ayrıca istemci için yönetim noktasıyla aynı doğrulamayı yapar. Daha fazla bilgi için bkz . Sitenin sertifika güven listesindeki girdileri gözden geçirme.

  • herhangi bir CMG bağlantı noktasının isteğe hizmet edip etemediğini denetlemek için istemci isteklerini (URL'ler) doğrular ve filtreler.

  • Her yayımlama uç noktası için içerik uzunluğunu denetler.

  • Aynı sitedeki CMG bağlantı noktalarının yükünü dengelemek için hepsini bir kez deneme davranışını kullanır.

CMG bağlantı noktası aşağıdaki yöntemleri kullanır:

  • CMG'nin tüm VM örneklerine tutarlı HTTPS/TCP bağlantıları oluşturur. Bu bağlantıları dakikada bir denetler ve korur.

  • Sertifikaları kullanarak CMG ile karşılıklı kimlik doğrulamasını kullanır.

  • URL eşlemelerine göre istemci isteklerini iletir.

  • Konsolunda hizmet durumu durumunu göstermek için bağlantı durumunu bildirir.

  • Her beş dakikada bir uç nokta başına trafiği bildirir.

Configuration Manager CMG için depolama hesabı anahtarını döndürür. Bu işlem her 180 günde bir otomatik olarak gerçekleşir.

Güvenlik mekanizmaları ve korumaları

Azure'daki CMG kaynakları, hizmet olarak Azure platformunun (PaaS) bir parçasıdır. Bunlar, Azure'daki diğer tüm kaynaklarla aynı şekilde ve aynı varsayılan korumalarla korunur. Azure'da CMG kaynaklarının veya mimarisinin yapılandırmalarının hiçbirinin değiştirilmesi desteklenmez. Bu değişiklikler, CMG'ye ulaşmadan önce trafiği kesmek, filtrelemek veya başka bir şekilde işlemek için CMG'nin önündeki herhangi bir tür güvenlik duvarının kullanımını içerir. CMG'yi hedefleyen tüm trafik bir Azure yük dengeleyici aracılığıyla işlenir. Sanal makine ölçek kümesi olarak CMG dağıtımları Bulut için Microsoft Defender tarafından korunur.

Hizmet sorumluları ve kimlik doğrulaması

Hizmet sorumlularının kimliği, Microsoft Entra kimliğindeki sunucu uygulaması kaydı tarafından doğrulanır. Bu uygulama , web uygulaması olarak da bilinir. CMG'yi oluşturduğunuzda veya önceden bir Azure yöneticisi tarafından el ile bu uygulama kaydını otomatik olarak oluşturursunuz. Daha fazla bilgi için bkz. CMG için Microsoft Entra uygulamalarını el ile kaydetme.

Azure uygulamalarının gizli anahtarları şifrelenir ve Configuration Manager site veritabanında depolanır. Kurulum işleminin bir parçası olarak, sunucu uygulamasının Microsoft Graph API Için Dizin Verilerini Okuma izni vardır. Ayrıca CMG'yi barındıran kaynak grubunda katkıda bulunan rolüne de sahiptir. Uygulamanın Microsoft Graph gibi kaynaklara her erişmesi gerektiğinde Azure'dan bulut kaynağına erişmek için kullandığı bir erişim belirteci alır.

Microsoft Entra kimliği, bu uygulamaların gizli dizi anahtarını otomatik olarak döndürebilir veya el ile yapabilirsiniz. Gizli anahtar değiştiğinde, Configuration Manager gizli anahtarı yenilemeniz gerekir.

Daha fazla bilgi için bkz . Uygulama kayıtlarının amacı.

İstemciye yönelik rolleri Configuration Manager

Yönetim noktası ve yazılım güncelleştirme noktası, istemci isteklerine hizmet vermek için IIS'de konak uç noktalarıdır. CMG tüm iç uç noktaları kullanıma sunmaz. CMG'de yayımlanan her uç noktanın bir URL eşlemesi vardır.

  • Dış URL, istemcinin CMG ile iletişim kurmak için kullandığı URL'dir.

  • İç URL, istekleri iç sunucuya iletmek için kullanılan CMG bağlantı noktasıdır.

URL eşleme örneği

Bir yönetim noktasında CMG trafiğini etkinleştirdiğinizde, Configuration Manager her yönetim noktası sunucusu için bir iç URL eşlemeleri kümesi oluşturur. Örneğin: ccm_system, ccm_incoming ve sms_mp. Yönetim noktası ccm_system uç noktasının dış URL'si şöyle görünebilir:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
URL her yönetim noktası için benzersizdir. Configuration Manager istemcisi daha sonra CMG özellikli yönetim noktası adını internet yönetim noktası listesine yerleştirir. Bu ad şöyle görünür:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Site, yayımlanan tüm dış URL'leri otomatik olarak CMG'ye yükler. Bu davranış, CMG'nin URL filtrelemesi yapmasını sağlar. Tüm URL eşlemeleri CMG bağlantı noktasına çoğaltılır. Ardından, istemci isteğinden dış URL'ye göre iletişimi iç sunuculara iletir.

Güvenlik kılavuzu

Sertifika iptal listesini yayımlama

İnternet tabanlı istemcilerin erişmesi için PKI'nızın sertifika iptal listesini (CRL) yayımlayın. PKI kullanarak bir CMG dağıtırken, hizmeti Ayarlar sekmesindeki İstemci sertifikası iptalini doğrula olarak yapılandırın. Bu ayar, hizmeti yayımlanmış bir CRL kullanacak şekilde yapılandırılır. Daha fazla bilgi için bkz. PKI sertifika iptalini planlama.

Bu CMG seçeneği istemci kimlik doğrulama sertifikasını doğrular.

  • İstemci Microsoft Entra kimliği veya belirteç tabanlı kimlik doğrulaması Configuration Manager kullanıyorsa CRL'nin önemi yoktur.

  • PKI kullanıyor ve CRL'yi harici olarak yayımlıyorsanız bu seçeneği etkinleştirin (önerilir).

  • PKI kullanıyorsanız CRL'yi yayımlamayın ve bu seçeneği devre dışı bırakın.

  • Bu seçeneği yanlış yapılandırdıysanız, istemcilerden CMG'ye daha fazla trafiğe neden olabilir. Bu trafik Azure çıkış verilerini artırabilir ve bu da Azure maliyetlerinizi artırabilir.

Sitenin sertifika güven listesindeki girdileri gözden geçirme

Her Configuration Manager sitesinde güvenilen kök sertifika yetkililerinin listesi, sertifika güven listesi (CTL) bulunur. Yönetim çalışma alanına gidip Site Yapılandırması'nı genişletip Siteler'i seçerek listeyi görüntüleyin ve değiştirin. Bir site seçin ve ardından şeritte Özellikler'i seçin. İletişim Güvenliği sekmesine geçin ve Güvenilen Kök Sertifika Yetkilileri'nin altında Ayarla'yı seçin.

PKI istemci kimlik doğrulamasını kullanarak CMG içeren bir site için daha kısıtlayıcı bir CTL kullanın. Aksi takdirde, yönetim noktasında zaten var olan herhangi bir güvenilen kök tarafından verilen istemci kimlik doğrulama sertifikalarına sahip istemciler, istemci kaydı için otomatik olarak kabul edilir.

Bu alt küme, yöneticilere güvenlik üzerinde daha fazla denetim sağlar. CTL, sunucuyu yalnızca CTL'deki sertifika yetkililerinden verilen istemci sertifikalarını kabul etmekle kısıtlar. Örneğin, Windows birçok genel ve genel olarak güvenilen sertifika sağlayıcısı için sertifikalarla birlikte sağlanır. Varsayılan olarak, IIS çalıştıran bilgisayar bu iyi bilinen sertifika yetkililerine (CA) zincirleyen sertifikalara güvenir. IIS'yi CTL ile yapılandırmadan, bu CA'lardan verilen bir istemci sertifikasına sahip tüm bilgisayarlar geçerli bir Configuration Manager istemcisi olarak kabul edilir. IIS'yi bu CA'ları içermeyen bir CTL ile yapılandırıyorsanız, sertifika bu CA'lara zincirlenmişse istemci bağlantıları reddedilir.

TLS 1.2'ye zorlama

TLS 1.2'yi zorlamak için CMG ayarını kullanın. Yalnızca Azure bulut hizmeti VM'sine uygulanır. Şirket içi Configuration Manager site sunucuları veya istemcileri için geçerli değildir.

Güncelleştirme paketiyle birlikte sürüm 2107'den başlayarak, bu ayar CMG depolama hesabı için de geçerlidir.

TLS 1.2 hakkında daha fazla bilgi için bkz. TLS 1.2'yi etkinleştirme.

Belirteç tabanlı kimlik doğrulamayı kullanma

Aşağıdaki koşullardan birine veya daha fazlasına sahip cihazlarınız varsa Configuration Manager belirteç tabanlı kimlik doğrulamasını kullanmayı göz önünde bulundurun:

  • genellikle iç ağa bağlanmayan İnternet tabanlı bir cihaz
  • Cihaz Microsoft Entra kimliğine katılamıyor
  • PKI tarafından verilen sertifikayı yüklemek için bir yönteminiz yok

Belirteç tabanlı kimlik doğrulaması ile site, iç ağa kaydolan cihazlar için belirteçleri otomatik olarak verir. İnternet tabanlı cihazlar için toplu kayıt belirteci oluşturabilirsiniz. Daha fazla bilgi için bkz. CMG için belirteç tabanlı kimlik doğrulaması.