Seguridad y privacidad de Cloud Management GatewaySecurity and privacy for the cloud management gateway

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

En este artículo se incluye información de seguridad y privacidad para Cloud Management Gateway (CMG) de Configuration Manager.This article includes security and privacy information for the Configuration Manager cloud management gateway (CMG). Para obtener más información, consulte Plan for cloud management gateway (Plan para la puerta de enlace de administración en la nube).For more information, see Plan for cloud management gateway.

Detalles de seguridad de CMGCMG security details

  • La instancia de CMG acepta y administra las conexiones desde puntos de conexión de CMG.The CMG accepts and manages connections from CMG connection points. Usa la autenticación mutua SSL mediante identificadores de conexión y certificados.It uses mutual SSL authentication using certificates and connection IDs.
  • La instancia de CMG acepta y reenvía las solicitudes de cliente mediante los métodos siguientes:The CMG accepts and forwards client requests using the following methods:
    • Autentica previamente las conexiones mediante el sistema mutuo de SSL con el certificado de autenticación de cliente basado en PKI o Azure AD.Pre-authenticates connections using mutual SSL with the PKI-based client authentication certificate or Azure AD.
      • En las instancias de máquina virtual de CMG, IIS comprueba la ruta de acceso del certificado en función de los certificados raíz de confianza que se cargan en la instancia de CMG.IIS on the CMG VM instances verifies the certificate path based on the trusted root certificate(s) uploaded to the CMG.
      • IIS en la instancia de máquina virtual también comprueba la revocación de certificados de cliente, si está habilitada.IIS on the VM instance also verifies client certificate revocation, if enabled. Para obtener más información, vea Publicar la lista de revocación de certificados.For more information, see Publish the certificate revocation list.
    • La lista de confianza de certificados comprueba la raíz del certificado de autenticación del cliente.The certificate trust list checks the root of the client authentication certificate. También realiza la misma validación que el punto de administración para el cliente.It also performs the same validation as the management point for the client. Para obtener más información, vea Revisar las entradas en la lista de confianza de certificados del sitio.For more information, see Review entries in the site's certificate trust list.
    • Valida y filtra las solicitudes de cliente (direcciones URL) para comprobar si algún punto de conexión de CMG puede atender la solicitud.Validates and filters client requests (URLs) to check if any CMG connection point can service the request.
    • Comprueba la longitud de contenido para cada punto de conexión de publicación.Checks content length for each publishing endpoint.
    • Usa comportamiento "round-robin" para equilibrar la carga de los puntos de conexión de CMG en el mismo sitio.Uses round-robin behavior to load-balance CMG connection points in the same site.
  • En el punto de conexión de CMG se usan los métodos siguientes:The CMG connection point uses the following methods:
    • Crea conexiones HTTPS/TCP coherentes a todas las instancias de máquina virtual de la instancia de CMG.Builds consistent HTTPS/TCP connections to all VM instances of the CMG. Comprueba y mantiene estas conexiones cada minuto.It checks and maintains these connections every minute.
    • Usa la autenticación mutua SSL con la instancia de CMG mediante certificados.Uses mutual SSL authentication with the CMG using certificates.
    • Reenvía las solicitudes cliente en función de asignaciones de direcciones URL.Forwards client requests based on URL mappings.
    • Notifica el estado de conexión para mostrar el estado de mantenimiento del servicio en la consola.Reports connection status to show service health status in the console.
    • Notifica el tráfico para cada punto de conexión cada cinco minutos.Reports traffic per endpoint every five minutes.

Funciones para el cliente de Configuration ManagerConfiguration Manager client-facing roles

El punto de administración y el punto de actualización de software hospedan puntos de conexión en IIS para atender las solicitudes de cliente.The management point and software update point host endpoints in IIS to service client requests. La instancia de CMG no expone todos los puntos de conexión internos.The CMG doesn't expose all internal endpoints. Cada punto de conexión publicado en CMG tiene una asignación de dirección URL.Every endpoint published to the CMG has an URL mapping.

  • La dirección URL externa es la que el cliente utiliza para comunicarse con CMG.The external URL is the one the client uses to communicate with the CMG.
  • La dirección URL interna es el punto de conexión de CMG utilizado para reenviar las solicitudes al servidor interno.The internal URL is the CMG connection point used to forward requests to the internal server.

Ejemplo de asignación de dirección URLURL mapping example

Al habilitar el tráfico de CMG en un punto de administración, Configuration Manager crea un conjunto interno de asignaciones de direcciones URL para cada servidor de punto de administración.When you enable CMG traffic on a management point, Configuration Manager creates an internal set of URL mappings for each management point server. Por ejemplo: ccm_system, ccm_incoming y sms_mp.For example: ccm_system, ccm_incoming, and sms_mp. La dirección URL externa para el punto de administración ccm_system del punto de administración tendría este aspecto:The external URL for the management point ccm_system endpoint might look like:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
La dirección URL es única para cada punto de administración.The URL is unique for each management point. Después, el cliente de Configuration Manager pone el nombre del punto de administración habilitado para CMG en su lista de puntos de administración de Internet.The Configuration Manager client then puts the CMG-enabled management point name into its internet management point list. Este nombre tiene el aspecto siguiente:This name looks like:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
El sitio carga automáticamente todas las direcciones URL externas publicadas en la instancia de CMG.The site automatically uploads all published external URLs to the CMG. Este comportamiento permite que la instancia de CMG realice el filtrado de direcciones URL.This behavior allows the CMG to do URL filtering. Todas las asignaciones de direcciones URL se replican en el punto de conexión de CMG.All URL mappings replicate to the CMG connection point. Después, reenvía la comunicación a los servidores internos según la dirección URL externa de la solicitud de cliente.It then forwards the communication to internal servers according to the external URL from the client request.

Directrices de seguridad para CMGSecurity guidance for CMG

Publicar la lista de revocación de certificadosPublish the certificate revocation list

Publique la lista de revocación de certificados (CRL) de la PKI para que los clientes basados en Internet tengan acceso.Publish your PKI's certificate revocation list (CRL) for internet-based clients to access. Al implementar una instancia de CMG mediante PKI, configure el servicio para comprobar la revocación del certificado de cliente en la pestaña Configuración. Esta opción configura el servicio para usar una lista de revocación de certificados (CRL) publicada.When deploying a CMG using PKI, configure the service to verify client certificate revocation on the Settings tab. This setting configures the service to use a published certificate revocation list (CRL). Para obtener más información, vea Planear la revocación de certificados PKI.For more information, see Plan for PKI certificate revocation.

Esta opción de CMG comprueba el certificado de autenticación del cliente.This CMG option verifies the client authentication certificate.

  • Si el cliente usa la autenticación de Azure AD, la CRL no es importante.If the client is using Azure AD authentication, the CRL doesn't matter.
  • Si usa PKI y publica la CRL de manera externa, habilite esta opción (recomendado).If you use PKI, and externally publish the CRL, then enable this option (recommended).
  • Si usa PKI y no publica la CRL, deshabilite esta opción.If you use PKI, don't publish the CRL, then disable this option.
  • Si configura de manera incorrecta esta opción, puede generar tráfico adicional desde los clientes a CMG.If you misconfigure this option, it can cause additional traffic from clients to the CMG. Este tráfico adicional puede aumentar los datos de salida de Azure, lo que podría aumentar los costos de Azure.This additional traffic can increase the Azure egress data, which can increase your Azure costs.

Revisar las entradas en la lista de confianza de certificados del sitioReview entries in the site's certificate trust list

Cada sitio de Configuration Manager incluye una lista de entidades de certificación raíz de confianza, la lista de confianza de certificados (CTL).Each Configuration Manager site includes a list of trusted root certification authorities, the certificate trust list (CTL). Para ver y modificar la lista, vaya al área de trabajo Administración, expanda Configuración del sitio y haga clic en Sitios.View and modify the list by going to the Administration workspace, expand Site Configuration, and select Sites. Seleccione un sitio y haga clic en Propiedades en la cinta.Select a site, and click Properties in the ribbon. Cambie a la pestaña Comunicación de equipo cliente y, después, haga clic en Establecer en Entidades de certificación raíz de confianza.Switch to the Client Computer Communication tab, and then click Set under Trusted Root Certification Authorities.

Nota

A partir de la versión 1906, esta pestaña se denomina Communication Security (Seguridad de la comunicación).Starting in version 1906, this tab is called Communication Security.

Use una CTL más restrictiva para un sitio con una instancia de CMG mediante la autenticación de cliente de PKI.Use a more restrictive CTL for a site with a CMG using PKI client authentication. En caso contrario, los clientes con certificados de autenticación de cliente emitidos por cualquier raíz de confianza que ya existe en el punto de administración se aceptan automáticamente para el registro de cliente.Otherwise, clients with client authentication certificates issued by any trusted root that already exists on the management point are automatically accepted for client registration.

Este subconjunto ofrece a los administradores mayor control sobre la seguridad.This subset provides administrators with more control over security. La CTL limita el servidor para que solo se acepten los certificados de cliente emitidos por las entidades de certificación de la CTL.The CTL restricts the server to only accept client certificates that are issued from the certification authorities in the CTL. Por ejemplo, Windows se comercializa con varios certificados de conocidas entidades de certificación (CA) de terceros, como VeriSign y Thawte.For example, Windows ships with a number of well-known third-party certification authority (CA) certificates, such as VeriSign and Thawte. De forma predeterminada, el equipo que ejecuta IIS confía en los certificados vinculados a estas entidades de certificación conocidas.By default, the computer running IIS trusts certificates that chain to these well-known CAs. Si no se configura IIS con una CTL, cualquier equipo que tenga un certificado de cliente emitido por estas entidades de certificación se aceptará como un cliente válido de Configuration Manager.Without configuring IIS with a CTL, any computer that has a client certificate issued from these CAs are accepted as a valid Configuration Manager client. Si se configura IIS con una CTL que no incluya estas entidades de certificación, se rechazarán las conexiones de cliente si el certificado está vinculado a estas entidades de certificación.If you configure IIS with a CTL that didn't include these CAs, client connections are refused if the certificate chained to these CAs.

Exigir TLS 1.2Enforce TLS 1.2

A partir de la versión 1906, use la opción de CMG para exigir TLS 1.2.Starting in version 1906, use the CMG setting to Enforce TLS 1.2. Solo se aplica a una máquina virtual de servicio en la nube de Azure.It only applies to the Azure cloud service VM. No se aplica a ningún cliente ni servidor de sitio de Configuration Manager local.It doesn't apply to any on-premises Configuration Manager site servers or clients. Para más información sobre TLS 1.2, consulte Habilitación de TLS 1.2.For more information on TLS 1.2, see How to enable TLS 1.2.

Pasos siguientesNext steps