클라우드 관리 게이트웨이에 대한 보안 및 개인 정보
적용 대상: Configuration Manager(현재 분기)
이 문서에는 Configuration Manager CMG(클라우드 관리 게이트웨이)에 대한 보안 및 개인 정보 정보가 포함되어 있습니다. 자세한 내용은 클라우드 관리 게이트웨이 개요를 참조하세요.
보안 세부 정보
CMG는 CMG 연결 지점에서 연결을 수락하고 관리합니다. 인증서 및 연결 ID를 사용하여 상호 인증을 사용합니다.
CMG는 다음 메서드를 사용하여 클라이언트 요청을 수락하고 전달합니다.
PKI 기반 클라이언트 인증 인증서 또는 Microsoft Entra ID와 함께 상호 HTTPS를 사용하여 연결을 사전 인증합니다.
CMG VM 인스턴스의 IIS는 CMG에 업로드하는 신뢰할 수 있는 루트 인증서를 기반으로 인증서 경로를 확인합니다.
인증서 해지를 사용하도록 설정하면 VM의 IIS instance 클라이언트 인증서 해지도 확인합니다. 자세한 내용은 인증서 해지 목록 게시를 참조하세요.
CTL(인증서 신뢰 목록)은 클라이언트 인증 인증서의 루트를 확인합니다. 또한 클라이언트의 관리 지점과 동일한 유효성 검사를 수행합니다. 자세한 내용은 사이트의 인증서 신뢰 목록에서 항목 검토를 참조하세요.
CMG 연결 지점이 요청을 처리할 수 있는지 검사 위해 URL(클라이언트 요청)의 유효성을 검사하고 필터링합니다.
각 게시 엔드포인트의 콘텐츠 길이를 확인합니다.
라운드 로빈 동작을 사용하여 동일한 사이트의 CMG 연결 지점 부하를 분산합니다.
CMG 연결 지점은 다음 메서드를 사용합니다.
CMG의 모든 VM 인스턴스에 대한 일관된 HTTPS/TCP 연결을 빌드합니다. 1분마다 이러한 연결을 확인하고 유지 관리합니다.
인증서를 사용하여 CMG와 상호 인증을 사용합니다.
URL 매핑에 따라 클라이언트 요청을 전달합니다.
연결 상태 보고하여 콘솔에 서비스 상태 상태 표시합니다.
5분마다 엔드포인트당 트래픽을 보고합니다.
Configuration Manager CMG에 대한 스토리지 계정 키를 회전합니다. 이 프로세스는 180일마다 자동으로 수행됩니다.
보안 메커니즘 및 보호
Azure의 CMG 리소스는 Azure PaaS(Platform as a Service)의 일부입니다. Azure의 다른 모든 리소스와 동일한 방식으로 동일한 기본 보호를 통해 보호됩니다. Azure에서 CMG 리소스 또는 아키텍처의 구성을 변경하는 것은 지원되지 않습니다. 이러한 변경 내용에는 CMG 앞에 있는 모든 종류의 방화벽을 사용하여 CMG에 도달하기 전에 트래픽을 가로채거나 필터링하거나 처리합니다. CMG로 향하는 모든 트래픽은 Azure 부하 분산 장치를 통해 처리됩니다. 가상 머신 확장 집합으로서의 CMG 배포는 클라우드용 Microsoft Defender 의해 보호됩니다.
서비스 주체 및 인증
서비스 주체는 Microsoft Entra ID의 서버 앱 등록에 의해 인증됩니다. 이 앱을 웹앱이라고도 합니다. CMG를 만들 때 자동으로 또는 Azure 관리자가 미리 수동으로 이 앱 등록을 만듭니다. 자세한 내용은 CMG에 대한 Microsoft Entra 앱 수동 등록을 참조하세요.
Azure 앱의 비밀 키는 암호화되어 Configuration Manager 사이트 데이터베이스에 저장됩니다. 설치 프로세스의 일부로 서버 앱에는 Microsoft Graph API 대한 디렉터리 데이터 읽기 권한이 있습니다. 또한 CMG를 호스트하는 리소스 그룹에 대한 기여자 역할도 있습니다. 앱이 Microsoft Graph와 같은 리소스에 액세스해야 할 때마다 Azure에서 액세스 토큰을 가져오며, 이 토큰은 클라우드 리소스에 액세스하는 데 사용됩니다.
Microsoft Entra ID는 이러한 앱의 비밀 키를 자동으로 회전하거나 수동으로 수행할 수 있습니다. 비밀 키가 변경되면 Configuration Manager 비밀 키를 갱신해야 합니다.
자세한 내용은 앱 등록의 목적을 참조하세요.
클라이언트 연결 역할 Configuration Manager
IIS에서 서비스 클라이언트 요청에 대한 관리 지점 및 소프트웨어 업데이트 지점 호스트 엔드포인트입니다. CMG는 모든 내부 엔드포인트를 노출하지 않습니다. CMG에 게시된 모든 엔드포인트에는 URL 매핑이 있습니다.
외부 URL은 클라이언트가 CMG와 통신하는 데 사용하는 URL입니다.
내부 URL은 내부 서버에 요청을 전달하는 데 사용되는 CMG 연결 지점입니다.
URL 매핑 예제
관리 지점에서 CMG 트래픽을 사용하도록 설정하면 Configuration Manager 각 관리 지점 서버에 대한 내부 URL 매핑 집합을 만듭니다. 예: ccm_system, ccm_incoming 및 sms_mp. 관리 지점 ccm_system 엔드포인트의 외부 URL은 다음과 같을 수 있습니다.
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
URL은 각 관리 지점에 대해 고유합니다. 그런 다음, Configuration Manager 클라이언트는 CMG 사용 관리 지점 이름을 인터넷 관리 지점 목록에 넣습니다. 이 이름은 다음과 같습니다.
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
사이트는 게시된 모든 외부 URL을 CMG에 자동으로 업로드합니다. 이 동작을 사용하면 CMG에서 URL 필터링을 수행할 수 있습니다. 모든 URL 매핑은 CMG 연결 지점에 복제됩니다. 그런 다음 클라이언트 요청의 외부 URL에 따라 내부 서버에 통신을 전달합니다.
보안 지침
인증서 해지 목록 게시
인터넷 기반 클라이언트가 액세스할 수 있도록 PKI의 CRL(인증서 해지 목록)을 게시합니다. PKI를 사용하여 CMG를 배포할 때 설정 탭에서 클라이언트 인증서 해지를 확인 하도록 서비스를 구성합니다. 이 설정은 게시된 CRL을 사용하도록 서비스를 구성합니다. 자세한 내용은 PKI 인증서 해지 계획을 참조하세요.
이 CMG 옵션은 클라이언트 인증 인증서를 확인합니다.
클라이언트가 Microsoft Entra ID 또는 Configuration Manager 토큰 기반 인증을 사용하는 경우 CRL은 중요하지 않습니다.
PKI를 사용하고 외부적으로 CRL을 게시하는 경우 이 옵션을 사용하도록 설정합니다(권장).
PKI를 사용하는 경우 CRL을 게시하지 말고 이 옵션을 사용하지 않도록 설정합니다.
이 옵션을 잘못 구성하면 클라이언트에서 CMG로 더 많은 트래픽이 발생할 수 있습니다. 이 트래픽은 Azure 송신 데이터를 증가시킬 수 있으므로 Azure 비용이 증가할 수 있습니다.
사이트의 인증서 신뢰 목록에서 항목 검토
각 Configuration Manager 사이트에는 신뢰할 수 있는 루트 인증 기관 목록인 CTL(인증서 신뢰 목록)이 포함됩니다. 관리 작업 영역으로 이동하여 목록을 보고 수정하고, 사이트 구성을 확장하고, 사이트를 선택합니다. 사이트를 선택한 다음 리본에서 속성을 선택합니다. 통신 보안 탭으로 전환한 다음 신뢰할 수 있는 루트 인증 기관에서 설정을 선택합니다.
PKI 클라이언트 인증을 사용하여 CMG가 있는 사이트에 대해 보다 제한적인 CTL을 사용합니다. 그렇지 않으면 관리 지점에 이미 있는 신뢰할 수 있는 루트에서 발급한 클라이언트 인증 인증서가 있는 클라이언트가 클라이언트 등록에 자동으로 허용됩니다.
이 하위 집합은 관리자에게 보안에 대한 더 많은 제어 권한을 제공합니다. CTL은 서버가 CTL의 인증 기관에서 발급한 클라이언트 인증서만 허용하도록 제한합니다. 예를 들어 Windows는 많은 퍼블릭 및 전역적으로 신뢰할 수 있는 인증서 공급자에 대한 인증서와 함께 제공합니다. 기본적으로 IIS를 실행하는 컴퓨터는 이러한 잘 알려진 CA(인증 기관)에 연결하는 인증서를 신뢰합니다. CTL을 사용하여 IIS를 구성하지 않으면 이러한 CA에서 발급된 클라이언트 인증서가 있는 컴퓨터는 유효한 Configuration Manager 클라이언트로 허용됩니다. 이러한 CA를 포함하지 않은 CTL을 사용하여 IIS를 구성하는 경우 인증서가 이러한 CA에 연결된 경우 클라이언트 연결이 거부됩니다.
TLS 1.2 적용
CMG 설정을 사용하여 TLS 1.2를 적용합니다. Azure 클라우드 서비스 VM에만 적용됩니다. 온-프레미스 Configuration Manager 사이트 서버 또는 클라이언트에는 적용되지 않습니다.
업데이트 롤업 버전 2107부터 이 설정은 CMG 스토리지 계정에도 적용됩니다.
TLS 1.2에 대한 자세한 내용은 TLS 1.2를 사용하도록 설정하는 방법을 참조하세요.
토큰 기반 인증 사용
다음 조건 중 하나 이상이 있는 디바이스가 있는 경우 Configuration Manager 토큰 기반 인증을 사용하는 것이 좋습니다.
- 내부 네트워크에 자주 연결되지 않는 인터넷 기반 디바이스
- 디바이스가 Microsoft Entra ID에 조인할 수 없습니다.
- PKI 발급 인증서를 설치하는 메서드가 없습니다.
토큰 기반 인증을 사용하면 사이트에서 내부 네트워크에 등록하는 디바이스에 대한 토큰을 자동으로 발급합니다. 인터넷 기반 디바이스에 대한 대량 등록 토큰을 만들 수 있습니다. 자세한 내용은 CMG에 대한 토큰 기반 인증을 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기