A felhőfelügyeleti átjáró biztonsága és adatvédelme
A következőre vonatkozik: Configuration Manager (aktuális ág)
Ez a cikk a Configuration Manager felhőfelügyeleti átjáró (CMG) biztonsági és adatvédelmi adatait tartalmazza. További információ: A felhőfelügyeleti átjáró áttekintése.
Biztonsági adatok
A CMG fogadja és kezeli a CMG csatlakozási pontjairól érkező kapcsolatokat. Kölcsönös hitelesítést használ tanúsítványok és kapcsolatazonosítók használatával.
A CMG az alábbi módszerekkel fogadja és továbbítja az ügyfélkéréseket:
Előre hitelesíti a kapcsolatokat kölcsönös HTTPS használatával a PKI-alapú ügyfél-hitelesítési tanúsítvánnyal vagy Microsoft Entra-azonosítóval.
A CMG virtuálisgép-példányokon futó IIS a CMG-be feltöltött megbízható főtanúsítványok alapján ellenőrzi a tanúsítvány elérési útját.
Ha engedélyezi a tanúsítvány-visszavonást, a virtuálisgép-példányon található IIS az ügyféltanúsítvány visszavonását is ellenőrzi. További információ: A visszavont tanúsítványok listájának közzététele.
A tanúsítványmegbízhatósági lista (CTL) ellenőrzi az ügyfél-hitelesítési tanúsítvány gyökerét. Ugyanazt az ellenőrzést végzi el, mint az ügyfél felügyeleti pontja. További információ: Bejegyzések áttekintése a webhely tanúsítványmegbízhatósági listájában.
Ellenőrzi és szűri az ügyfélkéréseket (URL-címeket), és ellenőrzi, hogy egy CMG-csatlakozási pont képes-e kiszolgálni a kérést.
Ellenőrzi az egyes közzétételi végpontok tartalomhosszát.
Ciklikus időszeleteléses működést használ a CMG csatlakozási pontjainak terheléselosztásához ugyanazon a helyen.
A CMG csatlakozási pontja a következő módszereket használja:
Konzisztens HTTPS-/TCP-kapcsolatokat hoz létre a CMG összes virtuálisgép-példányához. Percenként ellenőrzi és karbantartja ezeket a kapcsolatokat.
Kölcsönös hitelesítést használ a CMG-vel tanúsítványok használatával.
Az ügyfélkéréseket URL-leképezések alapján továbbítja.
A kapcsolat állapotát jelenti, hogy megjelenítse a szolgáltatás állapotát a konzolon.
Végpontonként öt percenként jelenti a forgalmat.
Configuration Manager elforgatja a CMG tárfiókkulcsát. Ez a folyamat 180 naponta automatikusan megtörténik.
Biztonsági mechanizmusok és védelem
Az Azure CMG-erőforrásai az Azure szolgáltatásként nyújtott platformjának (PaaS) részét képezik. Ugyanolyan módon és ugyanolyan alapértelmezett védelemmel rendelkeznek, mint az Összes többi Azure-erőforrás. Az Azure-beli CMG-erőforrások vagy -architektúra konfigurációinak módosítása nem támogatott. Ezek a módosítások magukban foglalják, hogy a CMG előtt bármilyen tűzfalat használnak a forgalom elfogására, szűrésére vagy más módon történő feldolgozására, mielőtt az eléri a CMG-t. A CMG-k felé irányuló összes forgalom feldolgozása egy Azure-terheléselosztón keresztül történik. A CMG virtuálisgép-méretezési csoportként történő üzembe helyezéseit a felhőhöz készült Microsoft Defender védi.
Szolgáltatásnevek és hitelesítés
A szolgáltatásneveket a kiszolgálóalkalmazás regisztrációja hitelesíti Microsoft Entra azonosítóban. Ezt az alkalmazást webalkalmazásnak is nevezik. Ezt az alkalmazásregisztrációt automatikusan hozza létre a CMG létrehozásakor, vagy manuálisan egy Azure-rendszergazda által előre. További információ: Microsoft Entra-alkalmazások manuális regisztrálása a CMG-hez.
Az Azure-alkalmazások titkos kulcsai a Configuration Manager helyadatbázisban vannak titkosítva és tárolva. A beállítási folyamat részeként a kiszolgálóalkalmazás rendelkezik Olvasási címtáradatok engedéllyel a Microsoft Graph API. Emellett közreműködői szerepkörrel is rendelkezik a CMG-t üzemeltető erőforráscsoporton. Minden alkalommal, amikor az alkalmazásnak hozzá kell férnie a Microsoft Graphhoz hasonló erőforrásokhoz, egy hozzáférési jogkivonatot kap az Azure-ból, amelyet a felhőalapú erőforrás eléréséhez használ.
Microsoft Entra azonosító automatikusan elforgathatja ezeknek az alkalmazásoknak a titkos kulcsát, vagy manuálisan is megteheti. A titkos kulcs módosításakor meg kell újítania a titkos kulcsot a Configuration Manager.
További információ: Az alkalmazásregisztrációk célja.
ügyféloldali szerepkörök Configuration Manager
A felügyeleti pont és a szoftverfrissítési pont gazdavégpontjai az IIS-ben az ügyfélkérések kiszolgálásához. A CMG nem teszi elérhetővé az összes belső végpontot. A CMG-ben közzétett végpontok mindegyike rendelkezik URL-leképezéssel.
A külső URL-cím az, amelyet az ügyfél a CMG-vel való kommunikációhoz használ.
A belső URL-cím az a CMG-csatlakozási pont, amellyel a kérések továbbítva lesznek a belső kiszolgálóra.
PÉLDA URL-leképezésre
Ha engedélyezi a CMG-forgalmat egy felügyeleti ponton, Configuration Manager létrehoz egy belső URL-megfeleltetési készletet az egyes felügyeletipont-kiszolgálókhoz. Például: ccm_system, ccm_incoming és sms_mp. A felügyeleti pont ccm_system végpont külső URL-címe a következőképpen nézhet ki:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
Az URL-cím minden felügyeleti ponthoz egyedi. A Configuration Manager-ügyfél ezután elhelyezi a CMG-kompatibilis felügyeleti pont nevét az internetfelügyeleti pontlistájában. A név így néz ki:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
A webhely automatikusan feltölti az összes közzétett külső URL-címet a CMG-be. Ez a viselkedés lehetővé teszi a CMG számára az URL-szűrést. Minden URL-leképezés a CMG csatlakozási pontjára replikálódik. Ezután továbbítja a kommunikációt a belső kiszolgálóknak az ügyfélkérésből származó külső URL-címnek megfelelően.
Biztonsági útmutató
A visszavont tanúsítványok listájának közzététele
Tegye közzé a PKI visszavont tanúsítványok listáját (CRL) az internetalapú ügyfelek számára a hozzáféréshez. Amikor PKI használatával helyez üzembe CMG-t, konfigurálja a szolgáltatást úgy, hogy ellenőrizze az ügyféltanúsítvány visszavonását a Beállítások lapon. Ez a beállítás egy közzétett CRL használatára konfigurálja a szolgáltatást. További információ: A PKI-tanúsítványok visszavonásának tervezése.
Ez a CMG-beállítás ellenőrzi az ügyfél-hitelesítési tanúsítványt.
Ha az ügyfél Microsoft Entra azonosítót vagy Configuration Manager jogkivonatalapú hitelesítést használ, a CRL nem számít.
Ha PKI-t használ, és külsőleg közzéteszi a CRL-t, engedélyezze ezt a beállítást (ajánlott).
Ha PKI-t használ, ne tegye közzé a CRL-t, majd tiltsa le ezt a beállítást.
Ha helytelenül konfigurálja ezt a beállítást, az nagyobb forgalmat okozhat az ügyfelek és a CMG között. Ez a forgalom növelheti az Azure kimenő adatait, ami növelheti az Azure-költségeket.
A webhely tanúsítványmegbízhatósági listájában szereplő bejegyzések áttekintése
Minden Configuration Manager hely tartalmazza a megbízható legfelső szintű hitelesítésszolgáltatók listáját, valamint a megbízható tanúsítványok listáját (CTL). A lista megtekintéséhez és módosításához lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek lehetőséget. Jelöljön ki egy webhelyet, majd válassza a menüszalag Tulajdonságok elemét . Váltson a Kommunikációbiztonság lapra, majd válassza a Beállítás lehetőséget a Megbízható legfelső szintű hitelesítésszolgáltatók területen.
Használjon szigorúbb CTL-t egy PKI-ügyfélhitelesítést használó CMG-vel rendelkező helyhez. Ellenkező esetben a felügyeleti ponton már létező megbízható legfelső szintű hitelesítéssel rendelkező ügyfelek automatikusan elfogadják az ügyfélregisztrációt.
Ezzel az alkészlettel a rendszergazdák nagyobb mértékben szabályozhatják a biztonságot. A CTL korlátozza a kiszolgálót, hogy csak a CTL hitelesítésszolgáltatói által kiadott ügyféltanúsítványokat fogadja el. A Windows például számos nyilvános és globálisan megbízható tanúsítványszolgáltatóhoz szállít tanúsítványokat. Alapértelmezés szerint az IIS-t futtató számítógép megbízhatónak tartja azokat a tanúsítványokat, amelyek ezekhez a jól ismert hitelesítésszolgáltatókhoz (CA) láncolnak. Ha nem konfigurálja az IIS-t CTL-lel, a hitelesítésszolgáltatók által kiállított ügyféltanúsítvánnyal rendelkező számítógépek érvényes Configuration Manager ügyfélként lesznek elfogadva. Ha olyan CTL-lel konfigurálja az IIS-t, amely nem tartalmazza ezeket a hitelesítésszolgáltatókat, a rendszer elutasítja az ügyfélkapcsolatokat, ha a tanúsítvány ezekhez a hitelesítésszolgáltatókhoz van láncban.
TLS 1.2 kényszerítése
Használja a CMG-beállítást a TLS 1.2 kényszerítéséhez. Ez csak az Azure-felhőszolgáltatás virtuális gépére vonatkozik. Nem vonatkozik semmilyen helyszíni Configuration Manager helykiszolgálóra vagy -ügyfélre.
A 2107-es verziótól kezdve a kumulatív frissítéstől kezdve ez a beállítás a CMG-tárfiókra is vonatkozik.
További információ a TLS 1.2-ről: A TLS 1.2 engedélyezése.
Jogkivonat-alapú hitelesítés használata
Ha az alábbi feltételek közül egy vagy több eszközzel rendelkezik, fontolja meg Configuration Manager jogkivonatalapú hitelesítés használatát:
- Olyan internetalapú eszköz, amely gyakran nem csatlakozik a belső hálózathoz
- Az eszköz nem tud csatlakozni Microsoft Entra azonosítóhoz
- Nincs módszere a PKI által kibocsátott tanúsítványok telepítéséhez
A jogkivonat-alapú hitelesítéssel a hely automatikusan jogkivonatokat bocsát ki a belső hálózaton regisztráló eszközök számára. Tömeges regisztrációs jogkivonatot hozhat létre az internetalapú eszközökhöz. További információ: Jogkivonat-alapú hitelesítés CMG-hez.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: