Segurança e privacidade para o gateway de gerenciamento de nuvem

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Este artigo inclui informações de segurança e privacidade para o CMG (gateway de gerenciamento de nuvem) Configuration Manager. Para obter mais informações, consulte Visão geral do gateway de gerenciamento de nuvem.

Detalhes de segurança

O CMG aceita e gerencia conexões de pontos de conexão CMG. Ele usa autenticação mútua usando certificados e IDs de conexão.

O CMG aceita e encaminha solicitações de cliente usando os seguintes métodos:

  • Pré-autentica conexões usando HTTPS mútuo com o certificado de autenticação de cliente baseado em PKI ou Microsoft Entra ID.

    • O IIS nas instâncias de VM do CMG verifica o caminho do certificado com base nos certificados raiz confiáveis que você carrega no CMG.

    • Se você habilitar a revogação de certificado, o IIS na instância da VM também verificará a revogação do certificado do cliente. Para obter mais informações, consulte Publicar a lista de revogação de certificados.

  • A CTL (lista de confiança de certificado) verifica a raiz do certificado de autenticação do cliente. Ele também faz a mesma validação que o ponto de gerenciamento do cliente. Para obter mais informações, consulte Revisar entradas na lista de confiança do certificado do site.

  • Valida e filtra as URLs (solicitações de cliente) para marcar se qualquer ponto de conexão CMG puder atender à solicitação.

  • Verifica o comprimento do conteúdo de cada ponto de extremidade de publicação.

  • Usa o comportamento round-robin para balancear pontos de conexão CMG no mesmo site.

O ponto de conexão CMG usa os seguintes métodos:

  • Cria conexões HTTPS/TCP consistentes com todas as instâncias de VM do CMG. Ele verifica e mantém essas conexões a cada minuto.

  • Usa a autenticação mútua com o CMG usando certificados.

  • Encaminha solicitações de cliente com base em mapeamentos de URL.

  • Relata status de conexão para mostrar status de integridade do serviço no console.

  • Relata tráfego por ponto de extremidade a cada cinco minutos.

Configuration Manager gira a chave da conta de armazenamento para o CMG. Esse processo acontece automaticamente a cada 180 dias.

Mecanismos e proteções de segurança

Os recursos do CMG no Azure fazem parte da plataforma do Azure como serviço (PaaS). Eles são protegidos da mesma maneira e com as mesmas proteções padrão que todos os outros recursos no Azure. Não há suporte para alterar nenhuma das configurações dos recursos ou arquitetura do CMG no Azure. Essas alterações incluem o uso de qualquer tipo de firewall na frente do CMG para interceptar, filtrar ou processar o tráfego antes de atingir o CMG. Todo o tráfego destinado a um CMG é processado por meio de um balanceador de carga do Azure. As implantações de CMG como um conjunto de dimensionamento de máquinas virtuais são protegidas por Microsoft Defender para Nuvem.

Entidades de serviço e autenticação

As entidades de serviço são autenticadas pelo registro do aplicativo de servidor em Microsoft Entra ID. Esse aplicativo também é conhecido como o aplicativo Web. Você cria esse registro de aplicativo automaticamente ao criar o CMG ou manualmente por um administrador do Azure com antecedência. Para obter mais informações, consulte Registrar manualmente Microsoft Entra aplicativos para o CMG.

As chaves secretas dos aplicativos do Azure são criptografadas e armazenadas no banco de dados do site Configuration Manager. Como parte do processo de instalação, o aplicativo do servidor tem permissão De Dados do Diretório de Leitura para o Microsoft API do Graph. Ele também tem a função contribuidor no grupo de recursos que hospeda o CMG. Sempre que o aplicativo precisa acessar recursos como o Microsoft Graph, ele obtém um token de acesso do Azure, que ele usa para acessar o recurso de nuvem.

Microsoft Entra ID pode girar automaticamente a chave secreta para esses aplicativos ou você pode fazê-la manualmente. Quando a chave secreta for alterada, você precisará renovar a chave secreta no Configuration Manager.

Para obter mais informações, consulte Finalidade dos registros de aplicativo.

Configuration Manager funções voltadas para o cliente

O ponto de gerenciamento e os pontos de extremidade do host de ponto de atualização de software no IIS para atender solicitações do cliente. O CMG não expõe todos os pontos de extremidade internos. Cada ponto de extremidade publicado no CMG tem um mapeamento de URL.

  • A URL externa é aquela que o cliente usa para se comunicar com o CMG.

  • A URL interna é o ponto de conexão CMG usado para encaminhar solicitações para o servidor interno.

Exemplo de mapeamento de URL

Quando você habilita o tráfego CMG em um ponto de gerenciamento, Configuration Manager cria um conjunto interno de mapeamentos de URL para cada servidor de ponto de gerenciamento. Por exemplo: ccm_system, ccm_incoming e sms_mp. A URL externa do ponto de gerenciamento ccm_system ponto de extremidade pode parecer:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
A URL é exclusiva para cada ponto de gerenciamento. O cliente Configuration Manager então coloca o nome do ponto de gerenciamento habilitado para CMG em sua lista de pontos de gerenciamento da Internet. Este nome se parece com:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
O site carrega automaticamente todas as URLs externas publicadas no CMG. Esse comportamento permite que o CMG faça filtragem de URL. Todos os mapeamentos de URL são replicados no ponto de conexão CMG. Em seguida, ele encaminha a comunicação para servidores internos de acordo com a URL externa da solicitação do cliente.

Diretrizes de segurança

Publicar a lista de revogação de certificado

Publique a CRL (lista de revogação de certificados) do PKI para clientes baseados na Internet acessarem. Ao implantar um CMG usando PKI, configure o serviço para Verificar a revogação do certificado do cliente na guia Configurações. Essa configuração configura o serviço para usar um CRL publicado. Para obter mais informações, consulte Planejar a revogação do certificado PKI.

Essa opção CMG verifica o certificado de autenticação do cliente.

  • Se o cliente estiver usando Microsoft Entra ID ou Configuration Manager autenticação baseada em token, a CRL não importará.

  • Se você usar PKI e publicar externamente o CRL, habilite essa opção (recomendado).

  • Se você usar PKI, não publique o CRL e desabilite essa opção.

  • Se você fizer uma configuração incorreta dessa opção, ela poderá causar mais tráfego de clientes para o CMG. Esse tráfego pode aumentar os dados de saída do Azure, o que pode aumentar seus custos do Azure.

Examinar entradas na lista de confiança do certificado do site

Cada site Configuration Manager inclui uma lista de autoridades de certificação raiz confiáveis, a CTL (lista de confiança de certificado). Exiba e modifique a lista acessando o workspace Administração , expanda Configuração do Site e selecione Sites. Selecione um site e selecione Propriedades na faixa de opções. Alterne para a guia Segurança de Comunicação e selecione Definir em Autoridades de Certificação Raiz Confiáveis.

Use uma CTL mais restritiva para um site com um CMG usando a autenticação do cliente PKI. Caso contrário, clientes com certificados de autenticação de cliente emitidos por qualquer raiz confiável que já existe no ponto de gerenciamento são aceitos automaticamente para registro do cliente.

Esse subconjunto fornece aos administradores mais controle sobre a segurança. A CTL restringe o servidor a aceitar apenas certificados de cliente emitidos pelas autoridades de certificação na CTL. Por exemplo, o Windows envia certificados para muitos provedores de certificados públicos e globalmente confiáveis. Por padrão, o computador que executa o IIS confia em certificados que são encadeados a essas autoridades de certificados conhecidas (AC). Sem configurar o IIS com uma CTL, qualquer computador que tenha um certificado de cliente emitido desses CAs é aceito como um cliente de Configuration Manager válido. Se você configurar o IIS com uma CTL que não incluiu esses CAs, as conexões do cliente serão recusadas se o certificado for encadeado a esses CAs.

Impor o TLS 1.2

Use a configuração CMG para impor o TLS 1.2. Ela só se aplica à VM do serviço de nuvem do Azure. Ele não se aplica a nenhum Configuration Manager servidores de site ou clientes locais.

A partir da versão 2107 com a rollup de atualização, essa configuração também se aplica à conta de armazenamento CMG.

Para obter mais informações sobre o TLS 1.2, consulte Como habilitar o TLS 1.2.

Usar autenticação baseada em token

Se você tiver dispositivos com uma ou mais das seguintes condições, considere usar Configuration Manager autenticação baseada em token:

  • Um dispositivo baseado na Internet que não costuma se conectar à rede interna
  • O dispositivo não é capaz de ingressar Microsoft Entra ID
  • Você não tem um método para instalar um certificado emitido por PKI

Com a autenticação baseada em token, o site emite automaticamente tokens para dispositivos que se registram na rede interna. Você pode criar um token de registro em massa para dispositivos baseados na Internet. Para obter mais informações, consulte Autenticação baseada em token para CMG.