Sécurité et confidentialité de la passerelle de gestion cloud

S’applique à : Configuration Manager (Current Branch)

Cet article inclut des informations sur la sécurité et la confidentialité pour la passerelle de gestion cloud (CMG) Configuration Manager. Pour plus d’informations, consultez Vue d’ensemble de la passerelle de gestion cloud.

Informations sur la sécurité

La passerelle de gestion cloud accepte et gère les connexions à partir de points de connexion CMG. Elle utilise l’authentification mutuelle à l’aide de certificats et d’ID de connexion.

La passerelle de gestion cloud accepte et transfère les requêtes client à l’aide des méthodes suivantes :

  • Elle authentifie au préalable les connexions à l’aide du protocole HTTPS mutuel avec le certificat d’authentification client PKI ou Azure Active Directory (Azure AD).

    • Le logiciel IIS installé sur les instances de machine virtuelle de la passerelle de gestion cloud vérifie le chemin du certificat basé sur les certificats racines approuvés chargés sur la passerelle de gestion cloud.

    • Si la révocation de certificat est activée, le logiciel IIS installé sur les instances de machine virtuelle vérifie également la révocation des certificats clients. Pour plus d’informations, consultez Publication de la liste de révocation de certificats.

  • La liste de certificats de confiance vérifie la racine du certificat d’authentification client. Elle effectue également la même validation que le point de gestion pour le client. Pour plus d’informations, consultez Examiner les entrées de la liste de certificats de confiance du site.

  • Valide et filtre les requêtes client (URL) pour vérifier si un point de connexion CMG peut traiter la requête.

  • Vérifie la longueur du contenu pour chaque point de terminaison de publication.

  • Utilise le comportement de tourniquet (round robin) pour équilibrer la charge des points de connexion CMG sur le même site.

Le point de connexion CMG utilise les méthodes suivantes :

  • Crée des connexions HTTPS/TCP cohérentes pour toutes les instances de machine virtuelle à la passerelle de gestion cloud. Il vérifie et gère ces connexions toutes les minutes.

  • Il utilise l’authentification mutuelle auprès de la passerelle de gestion cloud à l’aide de certificats.

  • Transfère les requêtes client basées sur des mappages d’URL.

  • Indique l’état de la connexion pour afficher l’état d’intégrité du service dans la console.

  • Indique le trafic par point de terminaison toutes les cinq minutes.

Dans la version 2010, Configuration Manager effectue une rotation de la clé de compte de stockage pour la passerelle CMG. Ce processus s’effectue automatiquement tous les 180 jours.

Rôles Configuration Manager utilisés par le client

Le point de gestion et le point de mise à jour logicielle hébergent des points de terminaison dans IIS pour traiter les requêtes client. La passerelle de gestion cloud n’expose pas tous les points de terminaison internes. Chaque point de terminaison publié sur la passerelle de gestion cloud comporte un mappage d’URL.

  • L’URL externe est celle que le client utilise pour communiquer avec la passerelle CMG.

  • L’URL interne est le point de connexion CMG utilisé pour transférer les demandes vers le serveur interne.

Exemple de mappage d’URL

Quand vous activez le trafic CMG sur un point de gestion, Configuration Manager crée un ensemble interne de mappages d’URL pour chaque serveur de point de gestion. Par exemple : ccm_system, ccm_incoming et sms_mp. L’URL externe du point de terminaison ccm_system du point de gestion peut se présenter ainsi :
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
L’URL est unique pour chaque point de gestion. Le client Configuration Manager place ensuite le nom du point de gestion activé pour la passerelle de gestion cloud dans sa liste de points de gestion Internet. Ce nom se présente comme suit :
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Le site charge automatiquement toutes les URL externes publiées sur la passerelle de gestion cloud. Ce comportement permet à la passerelle de gestion cloud d’effectuer un filtrage des URL. Tous les mappages d’URL sont répliqués sur le point de connexion CMG. Il transfère ensuite la communication vers les serveurs internes en fonction de l’URL externe à partir de la requête client.

Conseils de sécurité

Publication de la liste de révocation de certificats

Publiez la liste de révocation de certificats de votre infrastructure à clé publique (PKI) pour permettre l’accès des clients Internet. Lorsque vous déployez une CMG à l’aide de l’infrastructure à clé publique, configurez le service sur Vérifier la révocation des certificats clients sous l’onglet Paramètres. Ce paramètre configure le service de manière à ce qu’il utilise une liste de révocation de certificats publiée. Pour plus d’informations, consultez Planifier la révocation de certificats PKI.

Cette option de passerelle de gestion cloud vérifie le certificat d’authentification client.

  • Si le client utilise l’authentification Azure AD ou l’authentification basée sur des jetons de Configuration Manager, la liste de révocation de certificats n’a pas d’importance.

  • Si vous utilisez l’infrastructure à clé publique (PKI) et publiez la liste de révocation de certificats en externe, activez cette option (recommandé).

  • Si vous utilisez l’infrastructure à clé publique (PKI), ne publiez pas la liste de révocation de certificats, puis désactivez cette option.

  • Si vous ne configurez pas bien cette option, cela peut entraîner un trafic supplémentaire des clients vers la CMG. Ce trafic peut augmenter les données de sortie Azure, et donc vos coûts Azure.

Examiner les entrées de la liste de certificats de confiance du site

Chaque site Configuration Manager inclut une liste d’autorités de certification racines de confiance, la liste de certificats de confiance (CTL, Certificate Trust List). Pour consulter et modifier cette liste, accédez à l’espace de travail Administration, développez Configuration des sites, puis sélectionnez Sites. Sélectionnez un site, puis Propriétés dans le ruban. Basculez vers l’onglet Sécurité des communications, puis sélectionnez Définir sous Autorités de certification racines de confiance.

Utilisez une liste de certificats de confiance plus restrictive pour un site avec une passerelle de gestion cloud à l’aide de l’authentification client PKI. Sinon, les clients disposant de certificats d’authentification client émis par toute racine de confiance qui existe déjà sur le point de gestion sont automatiquement acceptés pour l’inscription du client.

Ce sous-ensemble confère aux administrateurs un contrôle accru de la sécurité. La liste de certificats de confiance limite le serveur à accepter uniquement les certificats clients émis par les autorités de certification figurant dans cette liste. Par exemple, Windows est fourni avec de nombreux certificats d’autorités de certification tierces renommées, telles que VeriSign et Thawte. Par défaut, l’ordinateur qui exécute les services Internet (IIS) approuve les certificats liés à ces autorités de certification connues. Sans configuration d’IIS avec une liste de certificats de confiance, tout ordinateur avec un certificat client publié par ces autorités de certification est accepté comme client Configuration Manager valide. Si vous configurez IIS avec une liste de certificats de confiance qui ne comprend pas ces autorités de certification, les connexions clientes sont rejetées si le certificat était lié à ces autorités de certification.

Appliquer TLS 1.2

Utilisez le paramètre de passerelle CMG pour Appliquer TLS 1.2. Il s’applique uniquement à la machine virtuelle du service Cloud Azure. Il ne s’applique à aucun serveur ou client de site Configuration Manager local.

Pour plus d’informations sur TLS 1.2, voir Comment activer TLS 1.2.

Authentification par jeton

À compter de la version 2002, Configuration Manager étend sa prise en charge des appareils basés sur Internet à ceux qui ne se connectent pas souvent au réseau interne, ne peuvent pas être joints à Azure AD et ne disposent d’aucun moyen d’installer un certificat émis par une infrastructure à clé publique. Le site émet automatiquement des jetons pour les appareils qui s’inscrivent sur le réseau interne. Vous pouvez créer un jeton d’inscription en bloc pour les appareils basés sur Internet. Pour plus d’informations, consultez Authentification basée sur un jeton pour CMG.