Cloud Management Gateway: la gestione sicura dei dispositivi connessi ad Internet

A causa dell’emergenza da COVID-19 e conseguente lockdown, abbiamo assistito ad un incremento esponenziale dell’attività da remoto da parte dei dipendenti; questo ha generato una corsa da parte delle aziende ad una digital transformation per garantire efficienza e produttività. La scelta di utilizzare consistentemente la semplice VPN ha permesso di rispondere all’emergenza in modo veloce ed efficace, ma contestualmente ha fatto sì che si aprissero alcuni scenari relativi alla cyber-security da dover considerare.

Uno di questi scenari è sicuramente la protezione della postazione di lavoro che, ovviamente, attraverso il canale VPN o direttamente collegate ad internet non possono essere gestite in modo adeguato.

A tal proposito Microsoft, ormai da qualche anno, mette a disposizione una nuova funzionalità cloud-based di Configuration Manager per permettere la gestione dei dispositivi collegati ad Internet e migliorare così la security posture aziendale.

La funzionalità di Cloud Management Gateway (CMG), sfruttando i servizi su Microsoft Azure, consente di gestire i device e distribuire contenuti in cloud:

  • Senza un’infrastruttura on-premise dedicata;
  • Senza la necessità di dover esporre l’infrastruttura su Internet;
  • In modo sicuro tramite TLS o attraverso token.
Figura 1 – Architettura Cloud Management Gateway

Oltre a quanto sopra riportato, CMG può essere utilizzato anche per altri scenari come ad esempio:

  •  Gestione di Branch Office con connettività Internet più efficiente rispetto a una WAN o connessione VPN;
  • Gestione delle acquisizioni, tramite join dei sistemi ad Azure AD e gestione tramite CMG;
  • Gestione di sistemi in workgroup;
  • Priovisioning di nuovi device attraverso Windows Autopilot oppure attraverso una procedura dedicata lato Configuration Manager.

Una delle più importanti funzionalità introdotte nell’ultima release di Microsoft Endpoint Configuration Manager che sfrutta CMG è sicuramente la possibilità di eseguire il download del contenuto direttamente dal cloud attraverso Task Sequence media (PXE, chiavette USB, ecc..); questa nuova funzionalità può essere utile per la standardizzazione del parco macchine nei Branch Office. Inviando un’apposita chiavetta USB o sfruttando un PXE server presente in loco, è possibile eseguire il provisioning di un’immagine direttamente dal cloud senza andare a saturare la connessione con la sede principale.

Requisiti

Per poter procedere con l’attivazione della funzionalità Cloud Management Gateway, è necessario disporre dei seguenti requisiti:

  • Una subscription Azure per ospitare il CMG (dalla versione 2010 è stato introdotto il supporto per subscription Cloud Service Provider – CSP);
  • Microsoft Endpoint Configuration Manager versione 1902 o successive;
  • Un account con diritti di Full administrator sull’infrastruttura Configuration Manager;
  • Un account Azure con i seguenti diritti amministrativi:
    • Subscription Owner
    • Global Admin
  • Un server Windows on-premises per ospitare il ruolo di CMG connection point (è possibile installare questo ruolo anche su un sistema che ospita già altri site system roles);
  • Il Service Connection Point deve essere configurato in online mode;
  • Integrazione con Azure AD per eseguire il deploy del servizio con Azure Resource Manager;
  • I sistemi client devono utilizzare il protocollo IPv4;
  • Un certificato di tipo Server Authentication per il ruolo CMG;
  • Altri tipi di certificati potrebbero essere richiesti sulla base del metodo di autenticazione e sulla base del sistema operativo del client.

Certificati per la funzionalità Cloud Management Gateway

Per fornire maggiori informazioni sui certificati da generare in base alla propria infrastruttura, in questa sezione, riportiamo l’elenco dei certificati legati alla funzionalità Cloud Management Gateway ed il loro scopo principale.

  • CMG Server Authentication Certificate

La funzionalità CMG crea un servizio HTTPS al quale i client internet-based si connettono. Il server richiede un certificato di tipo Server Authentication per permettere la crittografia del canale. E’ possibile acquistare un certificato da una CA pubblica oppure utilizzarne uno emesso dalla propria infrastruttura PKI.

Come riportato dalla documentazione ufficiale Microsoft, CMG supporta certificati di tipo wildcard.

Figura 2 – Supporto certificati wildcard

Questo certificato richiede un nome univoco globale per identificare il servizio su Azure. Prima di richiedere un certificato, risulta necessario verificare che il nome utilizzato risulti essere univoco. Per esempio, prdcmgita.CloudApp.Net.

Se si attiva inoltre la funzionalità CMG per il contenuto, verificare che il nome utilizzato risulti essere univoco anche tra i nomi utilizzati per gli Azure Storage Account.

  • CMG Trusted Root Certificate

I sistemi client devono essere in grado di “fidarsi” del certificato fornito dal CMG. Per fare questo, sono disponibili due modi:

  • Utilizzare un certificato emesso da una CA pubblica, come ad esempio DigiCert, Thawte, o VeriSign. I sistemi Windows includono nativamente le Trusted Root Certificate Authority (CAs) di questi provider. Utilizzando un certificato emesso da uno di questi provider, automaticamente i sistemi saranno in grado “trustare” il certificato utilizzato da CMG.
  • Utilizzare un certificato emesso da una Enterprise CA presente all’interno della propria Public Key Infrastructure (PKI).
  • Client authentication certificate

Questo certificato è richiesto per i seguenti sistemi internet-based clients nel caso in cui non risulti presente la versione 2002 di Configuration Manager:

    • Windows 8.1
    • Windows 10 non collegati ad Azure Active Directory (Azure AD)

I client utilizzano questo certificato per autenticarsi al CMG. I sistemi Windows 10 in Hybrid join o in join direttamente ad Azure AD non necessitano di questo certificato in quanto utilizzano Azure AD per l’autenticazione.

E’ possibile distribuire questo tipo di certificato sfruttando le funzionalità di Active Directory Certificate Services e Group Policy per l’autoenrollment dei certificati.

  • CMG connection point

Per inoltrare in modo sicuro le richieste dei client, il CMG connection point richiede una connessione sicura con il rispettivo Management Point. A seconda di come si configurano i dispositivi ed il Management Point, si determina la configurazione del CMG connection point.

  • Management Point in modalità HTTPS
    • Il CMG connection point richiede un certificato di autenticazione client.
    • Se i client utilizzano l’autenticazione Azure AD o il token Configuration Manager, questo certificato non è richiesto.
  • Se si configura il ruolo Management Point nella modalità Enhanced HTTP, questo certificato non è richiesto.

Costi

Uno dei fattori che più viene preso in considerazione dalle aziende è sicuramente quello economico. In questa sezione verranno fornite alcune indicazioni su come stimare il costo della soluzione in base al numero dei device che si vogliono gestire.

Nella soluzione CMG risultano essere coinvolti alcuni componenti di Microsoft Azure per determinare i costi della soluzione come:

  • Virtual Machine: in base alla configurazione definita lato Configuration Manager verranno create su Azure Virtual Machine di tipo A2v2;
  • Traffico in uscita: tutto il traffico in uscita da Azure risulta essere a pagamento mentre il traffico in ingresso è gratuito;
  • Storage: il costo consiste nella mole di dati che vengono replicati verso il CMG.

A tal proposito riportiamo qui sotto i costi indicativi sulla base di quanto sopra riportato:

  • Costi legati alla Virtual Machine su Azure
    • Standard A2 V2 (singola istanza) in «Pay as you go»: ~80 €/mese
  • Costi legati al traffico
    • Inventari e policy: considerare c.a. 100 MB/mese a sistema * 2000 device = 195 GB/mese: ~12 €/mese
    • Software Distribution: in base alle dimensioni dei Package/Application (N.B.: i software updates vengono scaricati direttamente da Microsoft Update)
  • Costi legati al volume della VM
    • 32 GB: 1,30 €/mese
    • 64 GB: 2,54 €/mese

Attivazione della soluzione

In questo paragrafo verranno riportati i passaggi necessari all’installazione e successiva configurazione della funzionalità Cloud Management Gateway su Configuration Manager.

Creazione record DNS pubblico

La creazione di un alias sul proprio DNS pubblico è richiesto nel momento in cui si utilizza un certificato emesso da una CA pubblica per il ruolo di Cloud Management Gateway.
Come precedentemente anticipato, il ruolo CMG richiede un nome univoco globale per identificare il proprio servizio su Azure con suffisso CloudApp.net; una CA di terze parti non è in grado di emettere un certificato con questo suffisso in quanto il dominio in questione risulta essere gestito da Microsoft.
A tal proposito, se si vuole utilizzare un certificato (relativo al proprio dominio) emesso da una CA esterna, è solamente necessario aggiungere un alias sul proprio DNS pubblico.

Ad esempio, supponiamo che il nome del nostro CMG lato Azure sia prdcmgita.CloudApp.Net; sul nostro DNS pubblico dovremo creare un nuovo record CNAME per prdcmgita.cloudcommunity.it che punta all’host prdcmgita.CloudApp.Net.

Attivazione funzionalità Cloud Management Gateway

  • Accedere alla console di Configuration Manager con un account con diritti amministrativi;
  • Accedere alla sezione Administration, espandere il container Updates and Servicing, e selezionare il nodo Features;
  • Verificare che la funzionalità Cloud Management Gateway risulti attiva, in caso contrario procedere con l’attivazione attraverso il pulsante Turn on presente nel ribbon in alto;
  • Espandere la folder Cloud Services, accedere al nodo Azure Service e selezionare Configure Azure Services presente nel ribbon in alto;
Figura 3 – Configurazione Azure Services
  • Inserire il nome da associare al servizio e verificare che l’opzione Cloud Management risulti selezionata;
  • Dal menu a tendina Azure environment, verificare che sia selezionata l’opzione AzurePublicCloud;
  • Premere sul pulsante Browse nella sezione Web app per procedere con la creazione di una nuova cloud app;
  • Specificare il nome dell’applicazione;
  • Nei campi HomePage URL e App ID URI dovrebbe essere configurato l’URL https://ConfigMgrService; nel caso in cui si dovesse ricevere l’errore “Another object with the same value for property identifierUris already exists” inserire un nome differente in quanto tale URL risulta già utilizzato da un altro Azure service.
  • Impostare il periodo di validità della Secret Key a 2 anni
  • Premere sul pulsante Sign in ed autenticarsi con un utente con diritti di Global Admin:
Figura 4 – Creazione Cloud App
  • Una volta terminato correttamente il processo di autenticazione, confermare le modifiche attraverso il pulsante OK;
  • Premere nuovamente sul pulsante OK;
  • Premere sul pulsante Browse nella sezione Native Client App e seguire i medesimi passaggi sopra citati per la creazione della nuova app;
  • E’ possibile selezionare le opzioni Enable Azure AD User Discovery e Enable Azure AD Group Discovery nel caso in cui si voglia attivare la funzionalità di Tenant Attach (per maggiori informazioni sulla funzionalità, è disponibile un articolo dedicato al seguente link);
  • Completare il wizard attraverso il pulsante Next;
  • Accedere alla sezione Administration, espandere il container Cloud Services, e selezionare il nodo Cloud Management Gateway;
  • Selezionare l’opzione Create Cloud Management Gateway dal ribbon presente in alto;
  • Premere sul pulsante Sign In ed autenticarsi con un account con diritti di Subscription Owner;
  • A fronte del corretto login, i restanti campi verranno popolati automaticamente con le informazioni presenti su Azure AD;
  • Nel caso in cui si risulti essere owner di più subscription, selezionare quella interessata;
  • Premere sul pulsante Next;
  • Dalla pagina Settings, premere sul pulsante Browse relativo alla sezione Certificate file e selezionare il certificato in formato PFX rilasciato dalla CA pubblica. Automaticamente verranno compilati i campi Service FQDN e Service name

NOTA: se si utilizza un certificato di tipo wildcard, all’interno del campo Service FQDN, rimuovere l’asterisco ed inserire l’hostname indicato nel record DNS (es: prdcmgita).

  • Dal menu a tendina, selezionare la Region interessata;
  • Selezionare un Resource Group già presente in Azure oppure creare un nuovo Resource Group che ospiterà il CMG (nel caso in cui si selezioni un Resource Group già esistente accertarsi che sia presente nella medesima Region impostate nel punto precedente);
  • All’interno del campo VM Instance inserire il numero di VM che si vogliono creare per questo servizio (è consentito un numero massimo di 16 VM);
  • Verificare che le 3 opzioni sottostanti risultino correttamente selezionate:
    • Verify Client Certificate Revocation;
    • Enforce TLS 1.2;
    • Allow CMG to function as a cloud distribution point and serve content from Azure storage;
  • Premere sul pulsante Next;
  • Impostare le soglie di Alerting sulla base delle proprie esigenze/valutazioni;
  • Premere nuovamente sul pulsante Next per avviare il processo di provisioning del CMG;

Attivazione ruolo CMG Connection Point

Il ruolo CMG Connection point è il ruolo core lato Configuration Manager che permette la comunicazione con il Cloud Management Gateway; riportiamo qui sotto alcuni semplici step per l’attivazione del ruolo:

  • Accedere alla console di Configuration Manager con un account con diritti amministrativi;
  • Accedere alla sezione Administration, espandere la folder Site Configuration, e selezionare il nodo Server and Site System Roles;
  • Selezionare il server identificato come owner del ruolo CMG connection point (es: Management Point), eseguire tasto destro e selezionare l’opzione Add Site System Roles;
  • Verificare che tutte le informazioni risultino correttamente popolate e premere sul pulsante Next;
  • Premere nuovamente sul pulsante Next;
  • Dalla pagina System Roles Selection, selezionare l’opzione Cloud management gateway connection point e procedere con il wizard;
Figura 5 – Aggiunta Site System Role
  • Selezionare dal menu a tendina il CMG creato in precedenza (verrà popolata automaticamente la Region di appartenenza);

Configurazione ruolo Management Point e Software Update Point

Per permettere la comunicazione con il CMG, è necessario configurare il ruolo Management Point ed eventualmente il ruolo Software Update Point per accettare questo tipo di traffico; gli step sotto riportati permettono di abilitare questo tipo di comunicazione:

  • Accedere alla console di Configuration Manager con un account con diritti amministrativi;
  • Accedere alla sezione Administration, espandere la folder Site Configuration, e selezionare il nodo Server and Site System Roles;
  • Selezionare il server con il ruolo di management point ed, all’interno dalla sezione in basso, eseguire tasto destro sul ruolo Management Point;
  • Selezionare l’opzione Properties e, dal tab General, abilitare l’opzione Allow Configuration Manager cloud management gateway traffic;
Figura 6 – Attivazione traffico Cloud Management Gateway su Management Point
  • Confermare le modifiche attraverso il pulsante OK;
  • Seguire la medesima procedura sopra riportata anche per il ruolo Software Update Point nel caso in cui si voglia distribuire gli aggiornamenti attraverso un CMG;

Riferimenti

Si riportano alcuni utili riferimenti alla documentazione ufficiale Microsoft:

Conclusioni

In questo articolo è stata riportata una delle funzionalità disponibili su Configuration Manager Current Branch per una gestione semplice ed efficiente dei dispositivi connessi ad Internet.

Uno degli aspetti di maggiore rilevanza di questa soluzione è quello di poter garantire la sicurezza e la protezione dei dati aziendali anche su sistemi non direttamente connessi con la propria infrastruttura.