Безопасность и конфиденциальность шлюза управления облаком
Относится к Configuration Manager (Current Branch)
В этой статье содержатся сведения о безопасности и конфиденциальности для шлюза управления облаком (CMG) Configuration Manager. Дополнительные сведения см. в статье Обзор шлюза управления облаком.
Сведения о безопасности
Шлюз управления облачными клиентами принимает подключения из точек подключения CMG и управляет ими. В нем используется взаимная проверка подлинности с использованием сертификатов и идентификаторов подключений.
CMG принимает и пересылает клиентские запросы с помощью следующих методов:
Предварительная проверка подлинности подключений по взаимному протоколу HTTPS с помощью сертификата проверки подлинности клиента на основе PKI или Microsoft Entra идентификатора.
СЛУЖБЫ IIS на экземплярах виртуальных машин CMG проверяют путь к сертификату на основе доверенных корневых сертификатов, передаваемых в CMG.
Если вы включите отзыв сертификата, службы IIS на экземпляре виртуальной машины также проверяют отзыв сертификата клиента. Дополнительные сведения см. в статье Публикация списка отзыва сертификатов.
Список доверия сертификатов проверяет корневой каталог сертификата проверки подлинности клиента. Он также выполняет ту же проверку, что и точка управления для клиента. Дополнительные сведения см. в разделе Просмотр записей в списке доверия сертификатов сайта.
Проверяет и фильтрует клиентские запросы (URL-адреса), чтобы проверка, может ли любая точка подключения CMG обслуживать запрос.
Проверяет длину содержимого для каждой конечной точки публикации.
Использует поведение циклического перебора для балансировки нагрузки точек подключения CMG на том же сайте.
Точка подключения CMG использует следующие методы:
Создает согласованные подключения HTTPS/TCP ко всем экземплярам виртуальных машин шлюза управления облачными клиентами. Он проверяет и поддерживает эти подключения каждую минуту.
Использует взаимную проверку подлинности с шлюзом управления облачными клиентами с помощью сертификатов.
Пересылает клиентские запросы на основе сопоставлений URL-адресов.
Сообщает о состоянии подключения для отображения состояния работоспособности службы в консоли.
Сообщает о трафике на конечную точку каждые пять минут.
Configuration Manager сменяет ключ учетной записи хранения для шлюза управления облачными клиентами. Этот процесс происходит автоматически каждые 180 дней.
Механизмы безопасности и средства защиты
Ресурсы CMG в Azure являются частью платформы Azure как услуги (PaaS). Они защищены таким же образом и с теми же средствами защиты по умолчанию, что и все другие ресурсы в Azure. Изменение конфигураций ресурсов или архитектуры CMG в Azure не поддерживается. Эти изменения включают использование любого типа брандмауэра перед CMG для перехвата, фильтрации или другой обработки трафика до того, как он достигнет CMG. Весь трафик, предназначенный для шлюза управления облачными клиентами, обрабатывается с помощью подсистемы балансировки нагрузки Azure. Развертывания CMG как масштабируемый набор виртуальных машин защищены Microsoft Defender для облака.
Субъекты-службы и проверка подлинности
Субъекты-службы проходят проверку подлинности с помощью регистрации серверного приложения в Microsoft Entra идентификаторе. Это приложение также называется веб-приложением. Эта регистрация приложения создается автоматически при создании CMG или вручную администратором Azure заранее. Дополнительные сведения см. в разделе Ручная регистрация приложений Microsoft Entra для CMG.
Секретные ключи для приложений Azure шифруются и хранятся в базе данных сайта Configuration Manager. В рамках процесса установки серверное приложение имеет разрешение на чтение данных каталога для microsoft API Graph. Он также имеет роль участник в группе ресурсов, в котором размещается CMG. Каждый раз, когда приложению требуется доступ к ресурсам, таким как Microsoft Graph, оно получает маркер доступа из Azure, который используется для доступа к облачному ресурсу.
Microsoft Entra идентификатор может автоматически сменить секретный ключ для этих приложений или сделать это вручную. При изменении секретного ключа необходимо обновить секретный ключ в Configuration Manager.
Дополнительные сведения см. в разделе Назначение регистрации приложений.
Configuration Manager клиентские роли
Точка управления и точка обновления программного обеспечения размещают конечные точки в IIS для обслуживания клиентских запросов. Шлюз управления облачными клиентами предоставляет не все внутренние конечные точки. Каждая конечная точка, опубликованная в CMG, имеет сопоставление URL-адресов.
Внешний URL-адрес — это тот, который клиент использует для связи с CMG.
Внутренний URL-адрес — это точка подключения CMG, используемая для пересылки запросов на внутренний сервер.
Пример сопоставления URL-адресов
При включении трафика CMG в точке управления Configuration Manager создает внутренний набор сопоставлений URL-адресов для каждого сервера точек управления. Например, ccm_system, ccm_incoming и sms_mp. Внешний URL-адрес точки управления ccm_system конечной точки может выглядеть следующим образом:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
URL-адрес уникален для каждой точки управления. Затем клиент Configuration Manager помещает имя точки управления с поддержкой CMG в список точек управления в Интернете. Это имя выглядит следующим образом:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Сайт автоматически отправляет все опубликованные внешние URL-адреса в CMG. Это позволяет CMG выполнять фильтрацию URL-адресов. Все сопоставления URL-адресов реплицируются в точку подключения CMG. Затем он перенаправит связь на внутренние серверы в соответствии с внешним URL-адресом из клиентского запроса.
Руководство по безопасности
Публикация списка отзыва сертификатов
Опубликуйте список отзыва сертификатов PKI (CRL) для доступа к интернет-клиентам. При развертывании CMG с помощью PKI настройте службу для проверки отзыва сертификата клиента на вкладке Параметры. Этот параметр настраивает службу для использования опубликованного списка отзыва сертификатов. Дополнительные сведения см. в статье Планирование отзыва PKI-сертификата.
Этот параметр CMG проверяет сертификат проверки подлинности клиента.
Если клиент использует идентификатор Microsoft Entra или Configuration Manager проверку подлинности на основе маркеров, список отзыва сертификатов не имеет значения.
Если вы используете PKI и публикуете список отзыва сертификатов извне, включите этот параметр (рекомендуется).
Если вы используете PKI, не публикуйте список отзыва сертификатов, а затем отключите этот параметр.
Если вы неправильно настроите этот параметр, это может привести к большему объему трафика от клиентов к CMG. Этот трафик может увеличить исходящие данные Azure, что может увеличить затраты на Azure.
Просмотр записей в списке доверия сертификатов сайта
Каждый сайт Configuration Manager содержит список доверенных корневых центров сертификации и список доверия сертификатов (CTL). Просмотрите и измените список, перейдя в рабочую область Администрирование , разверните узел Конфигурация сайта и выберите Сайты. Выберите сайт, а затем выберите свойства на ленте. Перейдите на вкладку Безопасность связи и выберите Задать в разделе Доверенные корневые центры сертификации.
Используйте более строгий CTL для сайта с CMG, использующим проверку подлинности PKI-клиента. В противном случае клиенты с сертификатами проверки подлинности клиента, выданными любым доверенным корнем, который уже существует в точке управления, автоматически принимаются для регистрации клиента.
Это подмножество предоставляет администраторам больший контроль над безопасностью. CTL ограничивает сервер принимать только клиентские сертификаты, выданные центрами сертификации в CTL. Например, Windows поставляется с сертификатами для многих общедоступных и глобальных поставщиков сертификатов. По умолчанию компьютер, на котором запущены службы IIS, доверяет сертификатам, которые связаны с этими хорошо известными центрами сертификации (ЦС). Без настройки IIS с CTL любой компьютер с сертификатом клиента, выданным из этих ЦС, принимается в качестве допустимого Configuration Manager клиента. Если вы настроили IIS с CTL, который не включал эти ЦС, клиентские подключения отклоняются, если сертификат связан с этими ЦС.
Принудительное применение TLS 1.2
Используйте параметр CMG для принудительного применения TLS 1.2. Он применяется только к виртуальной машине облачной службы Azure. Он не применяется к локальным серверам или клиентам Configuration Manager сайта.
Начиная с версии 2107 с накопительным пакетом обновления этот параметр также применяется к учетной записи хранения CMG.
Дополнительные сведения о TLS 1.2 см. в разделе Включение TLS 1.2.
Использование проверки подлинности на основе маркеров
Если у вас есть устройства с одним или несколькими из следующих условий, рассмотрите возможность использования Configuration Manager проверки подлинности на основе маркеров:
- Интернет-устройство, которое не часто подключается к внутренней сети
- Устройство не может присоединиться к идентификатору Microsoft Entra
- У вас нет метода для установки сертификата, выданного PKI
При проверке подлинности на основе маркеров сайт автоматически выдает маркеры для устройств, которые регистрируются во внутренней сети. Вы можете создать маркер массовой регистрации для интернет-устройств. Дополнительные сведения см. в статье Проверка подлинности на основе токенов для CMG.