Compartilhar via

Segurança e privacidade do gateway de gestão da cloud

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Este artigo inclui informações de segurança e privacidade para o Configuration Manager gateway de gestão da cloud (CMG). Para obter mais informações, veja Descrição geral do gateway de gestão da cloud.

Detalhes de segurança

O CMG aceita e gere ligações a partir de pontos de ligação CMG. Utiliza a autenticação mútua através de certificados e IDs de ligação.

O CMG aceita e reencaminha pedidos de cliente com os seguintes métodos:

  • Pré-autentica ligações através de HTTPS mútuo com o certificado de autenticação de cliente baseado em PKI ou Microsoft Entra ID.

    • O IIS nas instâncias de VM do CMG verifica o caminho do certificado com base nos certificados de raiz fidedigna que carrega para o CMG.

    • Se ativar a revogação de certificados, o IIS na instância da VM também verifica a revogação do certificado de cliente. Para obter mais informações, veja Publicar a lista de revogação de certificados.

  • A lista de fidedignidade do certificado (CTL) verifica a raiz do certificado de autenticação de cliente. Também faz a mesma validação que o ponto de gestão do cliente. Para obter mais informações, veja Rever entradas na lista de fidedignidade do certificado do site.

  • Valida e filtra pedidos de cliente (URLs) para marcar se algum ponto de ligação CMG puder atender ao pedido.

  • Verifica o comprimento do conteúdo de cada ponto final de publicação.

  • Utiliza o comportamento round robin para balancear carga de pontos de ligação CMG no mesmo site.

O ponto de ligação CMG utiliza os seguintes métodos:

  • Cria ligações HTTPS/TCP consistentes para todas as instâncias de VM do CMG. Verifica e mantém estas ligações a cada minuto.

  • Utiliza a autenticação mútua com o CMG através de certificados.

  • Reencaminha pedidos de cliente com base nos mapeamentos de URL.

  • Comunica status de ligação para mostrar status de estado de funcionamento do serviço na consola do .

  • Comunica o tráfego por ponto final a cada cinco minutos.

Configuration Manager roda a chave da conta de armazenamento para o CMG. Este processo ocorre automaticamente a cada 180 dias.

Mecanismos e proteções de segurança

Os recursos CMG no Azure fazem parte da plataforma como um serviço (PaaS) do Azure. Estão protegidos da mesma forma e com as mesmas proteções predefinidas que todos os outros recursos no Azure. Não é suportada a alteração de nenhuma das configurações dos recursos cmg ou arquitetura no Azure. Estas alterações incluem a utilização de qualquer tipo de firewall à frente do CMG para intercetar, filtrar ou processar o tráfego antes de chegar ao CMG. Todo o tráfego destinado a um CMG é processado através de um balanceador de carga do Azure. As implementações CMG como um conjunto de dimensionamento de máquinas virtuais são protegidas por Microsoft Defender para a Cloud.

Principais de serviço e autenticação

Os principais de serviço são autenticados pelo registo da aplicação de servidor no Microsoft Entra ID. Esta aplicação também é conhecida como a aplicação Web. Este registo de aplicação é criado automaticamente quando cria o CMG ou manualmente por um administrador do Azure com antecedência. Para obter mais informações, veja Registar manualmente Microsoft Entra aplicações para o CMG.

As chaves secretas das aplicações do Azure são encriptadas e armazenadas na base de dados do site Configuration Manager. Como parte do processo de configuração, a aplicação de servidor tem permissão ler dados de diretório para o microsoft API do Graph. Também tem a função contribuidor no grupo de recursos que aloja o CMG. Sempre que a aplicação precisa de aceder a recursos como o Microsoft Graph, obtém um token de acesso do Azure, que utiliza para aceder ao recurso da cloud.

Microsoft Entra ID pode rodar automaticamente a chave secreta para estas aplicações ou pode fazê-lo manualmente. Quando a chave secreta for alterada, terá de renovar a chave secreta no Configuration Manager.

Para obter mais informações, veja Objetivo dos registos de aplicações.

Configuration Manager funções voltadas para o cliente

O ponto de gestão e os pontos finais de anfitrião do ponto de atualização de software no IIS para pedidos de cliente de serviço. O CMG não expõe todos os pontos finais internos. Cada ponto final publicado no CMG tem um mapeamento de URL.

  • O URL externo é aquele que o cliente utiliza para comunicar com o CMG.

  • O URL interno é o ponto de ligação CMG utilizado para reencaminhar pedidos para o servidor interno.

Exemplo de mapeamento de URL

Quando ativa o tráfego CMG num ponto de gestão, Configuration Manager cria um conjunto interno de mapeamentos de URL para cada servidor de ponto de gestão. Por exemplo: ccm_system, ccm_incoming e sms_mp. O URL externo do ponto de gestão ccm_system ponto final poderá ter o seguinte aspeto:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
O URL é exclusivo para cada ponto de gestão. Em seguida, o cliente Configuration Manager coloca o nome do ponto de gestão compatível com CMG na lista de pontos de gestão da Internet. Este nome tem o seguinte aspeto:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
O site carrega automaticamente todos os URLs externos publicados para o CMG. Este comportamento permite que o CMG faça a filtragem de URL. Todos os mapeamentos de URL são replicados para o ponto de ligação CMG. Em seguida, reencaminha a comunicação para servidores internos de acordo com o URL externo do pedido de cliente.

Orientações de segurança

Publicar a lista de revogação de certificados

Publique a lista de revogação de certificados (CRL) da PKI para os clientes baseados na Internet acederem. Ao implementar um CMG com PKI, configure o serviço para Verificar a revogação do certificado de cliente no separador Definições. Esta definição configura o serviço para utilizar uma CRL publicada. Para obter mais informações, veja Planear a revogação de certificados PKI.

Esta opção CMG verifica o certificado de autenticação de cliente.

  • Se o cliente estiver a utilizar Microsoft Entra ID ou Configuration Manager autenticação baseada em tokens, o CRL não importa.

  • Se utilizar o PKI e publicar externamente o CRL, ative esta opção (recomendado).

  • Se utilizar a PKI, não publique a CRL e, em seguida, desative esta opção.

  • Se configurar incorretamente esta opção, pode causar mais tráfego dos clientes para o CMG. Este tráfego pode aumentar os dados de saída do Azure, o que pode aumentar os custos do Azure.

Rever entradas na lista de fidedignidade do certificado do site

Cada Configuration Manager site inclui uma lista de autoridades de certificação de raiz fidedigna, a lista de confiança de certificados (CTL). Veja e modifique a lista ao aceder à área de trabalho Administração , expanda Configuração do Site e selecione Sites. Selecione um site e, em seguida, selecione Propriedades no friso . Mude para o separador Segurança de Comunicação e, em seguida, selecione Definir em Autoridades de Certificação de Raiz Fidedigna.

Utilize uma CTL mais restritiva para um site com um CMG através da autenticação de cliente PKI. Caso contrário, os clientes com certificados de autenticação de cliente emitidos por qualquer raiz fidedigna que já exista no ponto de gestão são automaticamente aceites para registo de cliente.

Este subconjunto fornece aos administradores mais controlo sobre a segurança. A CTL restringe o servidor a aceitar apenas certificados de cliente emitidos pelas autoridades de certificação no CTL. Por exemplo, o Windows é fornecido com certificados para muitos fornecedores de certificados públicos e globalmente fidedignos. Por predefinição, o computador que executa o IIS confia em certificados que encadeiem a estas autoridades de certificação (AC) conhecidas. Sem configurar o IIS com uma CTL, qualquer computador que tenha um certificado de cliente emitido a partir destas ACs é aceite como um cliente Configuration Manager válido. Se configurar o IIS com uma CTL que não incluiu estas ACs, as ligações de cliente serão recusadas se o certificado estiver encadeado a estas ACs.

Impor o TLS 1.2

Utilize a definição CMG para Impor o TLS 1.2. Aplica-se apenas à VM do serviço cloud do Azure. Não se aplica a nenhum servidor ou cliente do site Configuration Manager no local.

A partir da versão 2107 com o update rollup, esta definição também se aplica à conta de armazenamento CMG.

Para obter mais informações sobre o TLS 1.2, veja Como ativar o TLS 1.2.

Utilizar a autenticação baseada em tokens

Se tiver dispositivos com uma ou mais das seguintes condições, considere utilizar Configuration Manager autenticação baseada em tokens:

  • Um dispositivo baseado na Internet que muitas vezes não se liga à rede interna
  • O dispositivo não consegue associar-se Microsoft Entra ID
  • Não tem um método para instalar um certificado emitido por PKI

Com a autenticação baseada em tokens, o site emite automaticamente tokens para dispositivos que se registam na rede interna. Pode criar um token de registo em massa para dispositivos baseados na Internet. Para obter mais informações, veja Autenticação baseada em tokens para CMG.