Seguridad y privacidad para la puerta de enlace de administración en la nube
Se aplica a: Configuration Manager (rama actual)
En este artículo se incluye información de seguridad y privacidad de la puerta de enlace de administración en la nube (CMG) de Configuration Manager. Para obtener más información, consulte Información general sobre cloud management gateway.
Detalles de seguridad
CMG acepta y administra las conexiones desde puntos de conexión de CMG. Usa la autenticación mutua mediante certificados e identificadores de conexión.
CMG acepta y reenvía las solicitudes de cliente mediante los métodos siguientes:
Autentica previamente las conexiones mediante HTTPS mutua con el certificado de autenticación de cliente basado en PKI o el identificador de Microsoft Entra.
IIS en las instancias de máquina virtual de CMG comprueba la ruta de acceso del certificado en función de los certificados raíz de confianza que se cargan en cmg.
Si habilita la revocación de certificados, IIS en la instancia de máquina virtual también comprueba la revocación de certificados de cliente. Para obtener más información, vea Publicar la lista de revocación de certificados.
La lista de confianza de certificados (CTL) comprueba la raíz del certificado de autenticación de cliente. También realiza la misma validación que el punto de administración para el cliente. Para obtener más información, vea Revisar entradas en la lista de confianza de certificados del sitio.
Valida y filtra las solicitudes de cliente (DIRECCIONES URL) para comprobar si algún punto de conexión de CMG puede atender la solicitud.
Comprueba la longitud del contenido de cada punto de conexión de publicación.
Usa el comportamiento round robin para equilibrar la carga de los puntos de conexión de CMG en el mismo sitio.
El punto de conexión de CMG usa los métodos siguientes:
Crea conexiones HTTPS/TCP coherentes a todas las instancias de máquina virtual de CMG. Comprueba y mantiene estas conexiones cada minuto.
Usa la autenticación mutua con CMG mediante certificados.
Reenvía solicitudes de cliente basadas en asignaciones de direcciones URL.
Notifica el estado de la conexión para mostrar el estado de mantenimiento del servicio en la consola.
Notifica el tráfico por punto de conexión cada cinco minutos.
Configuration Manager gira la clave de la cuenta de almacenamiento de CMG. Este proceso se produce automáticamente cada 180 días.
Mecanismos de seguridad y protecciones
Los recursos de CMG en Azure forman parte de la plataforma como servicio (PaaS) de Azure. Están protegidos de la misma manera y con las mismas protecciones predeterminadas que todos los demás recursos de Azure. No se admite cambiar ninguna de las configuraciones de los recursos o la arquitectura de CMG en Azure. Estos cambios incluyen el uso de cualquier tipo de firewall delante de CMG para interceptar, filtrar o procesar el tráfico antes de que llegue a CMG. Todo el tráfico destinado a un CMG se procesa a través de un equilibrador de carga de Azure. Las implementaciones de CMG como conjunto de escalado de máquinas virtuales están protegidas por Microsoft Defender for Cloud.
Entidades de servicio y autenticación
El registro de la aplicación de servidor autentica las entidades de servicio en Microsoft Entra id. Esta aplicación también se conoce como aplicación web. Este registro de aplicación se crea automáticamente al crear la instancia de CMG o manualmente por un administrador de Azure de antemano. Para obtener más información, consulte Registro manual de aplicaciones Microsoft Entra para CMG.
Las claves secretas de las aplicaciones de Azure se cifran y almacenan en la base de datos del sitio Configuration Manager. Como parte del proceso de instalación, la aplicación de servidor tiene el permiso Leer datos de directorio para microsoft Graph API. También tiene el rol colaborador en el grupo de recursos que hospeda la instancia de CMG. Cada vez que la aplicación necesita acceder a recursos como Microsoft Graph, obtiene un token de acceso de Azure, que usa para acceder al recurso en la nube.
Microsoft Entra id. puede girar automáticamente la clave secreta de estas aplicaciones o puede hacerlo manualmente. Cuando cambia la clave secreta, debe renovar la clave secreta en Configuration Manager.
Para obtener más información, consulte Propósito de los registros de aplicaciones.
Configuration Manager roles orientados al cliente
Puntos de conexión de host de punto de administración y punto de actualización de software de IIS a solicitudes de cliente de servicio. CMG no expone todos los puntos de conexión internos. Cada punto de conexión publicado en CMG tiene una asignación de direcciones URL.
La dirección URL externa es la que usa el cliente para comunicarse con cmg.
La dirección URL interna es el punto de conexión de CMG que se usa para reenviar solicitudes al servidor interno.
Ejemplo de asignación de direcciones URL
Al habilitar el tráfico de CMG en un punto de administración, Configuration Manager crea un conjunto interno de asignaciones de direcciones URL para cada servidor de punto de administración. Por ejemplo: ccm_system, ccm_incoming y sms_mp. La dirección URL externa del punto de administración ccm_system punto de conexión podría tener el siguiente aspecto:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
La dirección URL es única para cada punto de administración. A continuación, el cliente Configuration Manager coloca el nombre del punto de administración habilitado para CMG en su lista de puntos de administración de Internet. Este nombre tiene el siguiente aspecto:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
El sitio carga automáticamente todas las direcciones URL externas publicadas en cmg. Este comportamiento permite que CMG realice el filtrado de direcciones URL. Todas las asignaciones de direcciones URL se replican en el punto de conexión de CMG. A continuación, reenvía la comunicación a los servidores internos según la dirección URL externa de la solicitud de cliente.
Guía de seguridad
Publicación de la lista de revocación de certificados
Publique la lista de revocación de certificados (CRL) de la PKI para que los clientes basados en Internet accedan. Al implementar una instancia de CMG mediante PKI, configure el servicio para comprobar la revocación de certificados de cliente en la pestaña Configuración. Esta configuración configura el servicio para que use una CRL publicada. Para obtener más información, consulte Plan for PKI certificate revocation (Planeamiento de la revocación de certificados PKI).
Esta opción de CMG comprueba el certificado de autenticación de cliente.
Si el cliente usa Microsoft Entra id. o Configuration Manager autenticación basada en tokens, la CRL no importa.
Si usa PKI y publica externamente la CRL, habilite esta opción (recomendada).
Si usa PKI, no publique la CRL y deshabilite esta opción.
Si configura esta opción de forma incorrecta, puede provocar más tráfico de clientes a CMG. Este tráfico puede aumentar los datos de salida de Azure, lo que puede aumentar los costos de Azure.
Revisar las entradas de la lista de confianza de certificados del sitio
Cada sitio Configuration Manager incluye una lista de entidades de certificación raíz de confianza, la lista de confianza de certificados (CTL). Para ver y modificar la lista, vaya al área de trabajo Administración , expanda Configuración del sitio y seleccione Sitios. Seleccione un sitio y, a continuación, seleccione Propiedades en la cinta de opciones. Cambie a la pestaña Seguridad de la comunicación y, a continuación, seleccione Establecer en Entidades de certificación raíz de confianza.
Use un CTL más restrictivo para un sitio con un CMG mediante la autenticación de cliente PKI. De lo contrario, los clientes con certificados de autenticación de cliente emitidos por cualquier raíz de confianza que ya exista en el punto de administración se aceptan automáticamente para el registro de cliente.
Este subconjunto proporciona a los administradores más control sobre la seguridad. El CTL restringe el servidor para que solo acepte certificados de cliente emitidos por las entidades de certificación en el CTL. Por ejemplo, Windows incluye certificados para muchos proveedores de certificados de confianza pública y global. De forma predeterminada, el equipo que ejecuta IIS confía en los certificados que se encadenan a estas entidades de certificación (CA) conocidas. Sin configurar IIS con un CTL, cualquier equipo que tenga un certificado de cliente emitido desde estas CA se acepta como un cliente de Configuration Manager válido. Si configura IIS con un CTL que no incluye estas CA, se rechazarán las conexiones de cliente si el certificado se encadenó a estas CA.
Exigir TLS 1.2
Use la configuración de CMG para aplicar TLS 1.2. Solo se aplica a la máquina virtual del servicio en la nube de Azure. No se aplica a ningún cliente o servidor de sitio de Configuration Manager local.
A partir de la versión 2107 con el paquete acumulativo de actualizaciones, esta configuración también se aplica a la cuenta de almacenamiento de CMG.
Para obtener más información sobre TLS 1.2, vea How to enable TLS 1.2(Cómo habilitar TLS 1.2).
Uso de la autenticación basada en tokens
Si tiene dispositivos que tienen una o varias de las condiciones siguientes, considere la posibilidad de usar Configuration Manager autenticación basada en tokens:
- Un dispositivo basado en Internet que no se conecta a menudo a la red interna
- El dispositivo no puede unirse a Microsoft Entra id.
- No tiene un método para instalar un certificado emitido por PKI.
Con la autenticación basada en tokens, el sitio emite automáticamente tokens para los dispositivos que se registran en la red interna. Puede crear un token de registro masivo para dispositivos basados en Internet. Para obtener más información, consulte Autenticación basada en tokens para CMG.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de