Sicurezza e privacy per il gateway di gestione cloud
Si applica a: Configuration Manager (Current Branch)
Questo articolo include informazioni sulla sicurezza e sulla privacy per il gateway di gestione cloud (CMG) Configuration Manager. Per altre informazioni, vedere Panoramica del gateway di gestione cloud.
Dettagli di sicurezza
Il cmg accetta e gestisce le connessioni dai punti di connessione di CMG. Usa l'autenticazione reciproca usando certificati e ID di connessione.
Il cmg accetta e inoltra le richieste client usando i metodi seguenti:
Preautentica le connessioni tramite HTTPS reciproco con il certificato di autenticazione client basato su PKI o l'ID Microsoft Entra.
IIS nelle istanze della macchina virtuale cmg verifica il percorso del certificato in base ai certificati radice attendibili caricati nel cmg.
Se si abilita la revoca del certificato, IIS nell'istanza della macchina virtuale verifica anche la revoca del certificato client. Per altre informazioni, vedere Pubblicare l'elenco di revoche di certificati.
L'elenco di attendibilità dei certificati (CTL) controlla la radice del certificato di autenticazione client. Esegue anche la stessa convalida del punto di gestione per il client. Per altre informazioni, vedere Esaminare le voci nell'elenco di attendibilità dei certificati del sito.
Convalida e filtra le richieste client (URL) per verificare se un punto di connessione cmg può gestire la richiesta.
Controlla la lunghezza del contenuto per ogni endpoint di pubblicazione.
Usa il comportamento round robin per bilanciare il carico dei punti di connessione cmg nello stesso sito.
Il punto di connessione cmg usa i metodi seguenti:
Crea connessioni HTTPS/TCP coerenti a tutte le istanze di macchine virtuali del cmg. Controlla e gestisce queste connessioni ogni minuto.
Usa l'autenticazione reciproca con cmg usando i certificati.
Inoltra le richieste client in base ai mapping degli URL.
Segnala lo stato di connessione per visualizzare lo stato di integrità del servizio nella console.
Segnala il traffico per endpoint ogni cinque minuti.
Configuration Manager ruota la chiave dell'account di archiviazione per il cmg. Questo processo viene eseguito automaticamente ogni 180 giorni.
Meccanismi di sicurezza e protezioni
Le risorse cmg in Azure fanno parte della piattaforma distribuita come servizio (PaaS) di Azure. Sono protetti nello stesso modo e con le stesse protezioni predefinite di tutte le altre risorse in Azure. Non è supportato modificare le configurazioni delle risorse o dell'architettura del cmg in Azure. Queste modifiche includono l'uso di qualsiasi tipo di firewall davanti al cmg per intercettare, filtrare o elaborare in altro modo il traffico prima che raggiunga il CMG. Tutto il traffico destinato a un cmg viene elaborato tramite un servizio di bilanciamento del carico di Azure. Le distribuzioni cmg come set di scalabilità di macchine virtuali sono protette da Microsoft Defender per il cloud.
Entità servizio e autenticazione
Le entità servizio vengono autenticate dalla registrazione dell'app server nell Microsoft Entra ID. Questa app è nota anche come app Web. La registrazione dell'app viene creata automaticamente quando si crea il cmg o manualmente da un amministratore di Azure in anticipo. Per altre informazioni, vedere Registrare manualmente le app Microsoft Entra per cmg.
Le chiavi segrete per le app di Azure vengono crittografate e archiviate nel database del sito Configuration Manager. Come parte del processo di installazione, l'app server dispone dell'autorizzazione Lettura dati directory per microsoft API Graph. Ha anche il ruolo di collaboratore nel gruppo di risorse che ospita il cmg. Ogni volta che l'app deve accedere a risorse come Microsoft Graph, ottiene un token di accesso da Azure, che usa per accedere alla risorsa cloud.
Microsoft Entra ID può ruotare automaticamente la chiave privata per queste app oppure manualmente. Quando la chiave privata cambia, è necessario rinnovare la chiave privata in Configuration Manager.
Per altre informazioni, vedere Scopo delle registrazioni dell'app.
Configuration Manager ruoli rivolti al client
Il punto di gestione e gli endpoint host del punto di aggiornamento software in IIS per gestire le richieste client. Il cmg non espone tutti gli endpoint interni. Ogni endpoint pubblicato nel cmg ha un mapping di URL.
L'URL esterno è quello usato dal client per comunicare con il cmg.
L'URL interno è il punto di connessione cmg usato per inoltrare le richieste al server interno.
Esempio di mapping degli URL
Quando si abilita il traffico CMG in un punto di gestione, Configuration Manager crea un set interno di mapping degli URL per ogni server del punto di gestione. Ad esempio: ccm_system, ccm_incoming e sms_mp. L'URL esterno per l'endpoint ccm_system punto di gestione potrebbe essere simile al seguente:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
L'URL è univoco per ogni punto di gestione. Il client Configuration Manager inserisce quindi il nome del punto di gestione abilitato per CMG nell'elenco dei punti di gestione Internet. Questo nome è simile al seguente:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Il sito carica automaticamente tutti gli URL esterni pubblicati nel cmg. Questo comportamento consente al cmg di eseguire il filtro URL. Tutti i mapping degli URL vengono replicati nel punto di connessione cmg. Inoltra quindi la comunicazione ai server interni in base all'URL esterno dalla richiesta client.
Linee guida per la sicurezza
Pubblicare l'elenco di revoche di certificati
Pubblicare l'elenco di revoche di certificati (CRL) dell'infrastruttura a chiave pubblica per consentire l'accesso ai client basati su Internet. Quando si distribuisce un cmg usando l'infrastruttura a chiave pubblica, configurare il servizio per verificare la revoca del certificato client nella scheda Impostazioni. Questa impostazione configura il servizio per l'uso di un CRL pubblicato. Per altre informazioni, vedere Pianificare la revoca del certificato PKI.
Questa opzione cmg verifica il certificato di autenticazione client.
Se il client usa Microsoft Entra ID o Configuration Manager autenticazione basata su token, il CRL non ha importanza.
Se si usa PKI e si pubblica esternamente l'elenco CRL, abilitare questa opzione (scelta consigliata).
Se si usa PKI, non pubblicare il CRL, quindi disabilitare questa opzione.
Se si configura in modo errato questa opzione, può causare più traffico dai client al cmg. Questo traffico può aumentare i dati in uscita di Azure, aumentando i costi di Azure.
Esaminare le voci nell'elenco di attendibilità dei certificati del sito
Ogni sito Configuration Manager include un elenco di autorità di certificazione radice attendibili, ovvero l'elenco di attendibilità dei certificati (CTL). Visualizzare e modificare l'elenco passando all'area di lavoro Amministrazione , espandere Configurazione sito e selezionare Siti. Selezionare un sito e quindi proprietà nella barra multifunzione. Passare alla scheda Sicurezza delle comunicazioni e quindi selezionare Imposta in Autorità di certificazione radice attendibili.
Usare un elenco CTL più restrittivo per un sito con un cmg usando l'autenticazione client PKI. In caso contrario, i client con certificati di autenticazione client emessi da qualsiasi radice attendibile già esistente nel punto di gestione vengono accettati automaticamente per la registrazione client.
Questo subset offre agli amministratori un maggiore controllo sulla sicurezza. L'elenco CTL limita il server ad accettare solo i certificati client rilasciati dalle autorità di certificazione nell'elenco CTL. Ad esempio, Windows viene fornito con certificati per molti provider di certificati pubblici e attendibili a livello globale. Per impostazione predefinita, il computer che esegue IIS considera attendibili i certificati concatenati a queste autorità di certificazione note. Senza configurare IIS con un elenco CTL, tutti i computer con un certificato client emesso da queste CA vengono accettati come client di Configuration Manager valido. Se si configura IIS con un elenco CTL che non include queste CA, le connessioni client vengono rifiutate se il certificato è concatenato a queste CA.
Applicare TLS 1.2
Usare l'impostazione CMG per applicare TLS 1.2. Si applica solo alla macchina virtuale del servizio cloud di Azure. Non si applica ad alcun server o client del sito Configuration Manager locale.
A partire dalla versione 2107 con l'aggiornamento cumulativo, questa impostazione si applica anche all'account di archiviazione cmg.
Per altre informazioni su TLS 1.2, vedere Come abilitare TLS 1.2.
Usare l'autenticazione basata su token
Se si dispone di dispositivi con una o più delle condizioni seguenti, provare a usare Configuration Manager autenticazione basata su token:
- Un dispositivo basato su Internet che spesso non si connette alla rete interna
- Il dispositivo non è in grado di aggiungere Microsoft Entra ID
- Non è disponibile un metodo per installare un certificato rilasciato dall'infrastruttura a chiave pubblica
Con l'autenticazione basata su token, il sito rilascia automaticamente i token per i dispositivi che si registrano nella rete interna. È possibile creare un token di registrazione bulk per i dispositivi basati su Internet. Per altre informazioni, vedere Autenticazione basata su token per CMG.