Osvědčené postupy zabezpečení ve službě Azure Automation
Důležité
Účty Spustit jako pro Azure Automation, včetně účtů Spustit jako pro Classic, se vyřadily 30. září 2023 a nahradily spravované identity. Účty Spustit jako už nebudete moct vytvářet ani obnovovat prostřednictvím webu Azure Portal. Další informace najdete v tématu Migrace z existujících účtů Spustit jako na spravovanou identitu.
Tento článek podrobně popisuje osvědčené postupy pro bezpečné spouštění úloh automatizace. Azure Automation poskytuje platformu pro orchestraci častých, časově náročných, náchylných k chybám správy infrastruktury a provozních úloh a také klíčových operací. Tato služba umožňuje bez problémů spouštět skripty označované jako runbooky automatizace napříč cloudovými a hybridními prostředími.
Komponenty platformy služby Azure Automation jsou aktivně zabezpečené a posílené. Služba prochází robustními kontrolami zabezpečení a dodržování předpisů. Srovnávací test zabezpečení cloudu Microsoftu podrobně popisuje osvědčené postupy a doporučení, které vám pomůžou zlepšit zabezpečení úloh, dat a služeb v Azure. Viz také standardní hodnoty zabezpečení Azure pro Azure Automation.
Zabezpečená konfigurace účtu Automation
Tato část vás provede bezpečnou konfigurací účtu Automation.
Oprávnění
Při udělování přístupu k prostředkům Automation postupujte podle principu nejnižších oprávnění. Implementujte podrobné role RBAC pro automatizaci a vyhněte se přiřazování širších rolí nebo oborů, jako je úroveň předplatného. Při vytvářenívlastníchch Omezením rolí a oborů omezíte prostředky, které jsou ohrožené v případě ohrožení zabezpečení objektu zabezpečení. Podrobné informace o konceptech řízení přístupu na základě role najdete v osvědčených postupech řízení přístupu na základě role v Azure.
Vyhněte se rolím, které zahrnují akce se zástupným znakem (*), protože znamená úplný přístup k prostředku Automation nebo dílčímu prostředku, například automationaccounts/*/read. Místo toho použijte konkrétní akce pouze pro požadovaná oprávnění.
Pokud uživatel nevyžaduje přístup ke všem runbookům v účtu Automation, nakonfigurujte přístup na základě rolí na úrovni runbooku.
Omezte počet vysoce privilegovaných rolí, jako je přispěvatel služby Automation, abyste snížili potenciální porušení zabezpečení ohroženým vlastníkem.
Pomocí služby Microsoft Entra Privileged Identity Management můžete chránit privilegované účty před škodlivými kybernetickými útoky, abyste zvýšili přehled o jejich používání prostřednictvím sestav a výstrah.
Zabezpečení role hybrid Runbook Worker
Nainstalujte hybridní pracovní procesy pomocí rozšíření Hybrid Runbook Worker virtuálního počítače, které nemá žádnou závislost na agentovi Log Analytics. Tuto platformu doporučujeme, protože využívá ověřování založené na ID microsoftu Entra. Funkce Hybrid Runbook Worker služby Azure Automation umožňuje spouštět runbooky přímo na počítači, který je hostitelem role v Azure nebo mimo Azure, a spouštět úlohy Automation v místním prostředí.
- Používejte pouze uživatele s vysokými oprávněními nebo vlastní role Hybrid Worker pro uživatele zodpovědné za správu operací, jako je registrace nebo zrušení registrace hybridních pracovních procesů a hybridních skupin a spouštění runbooků ve skupinách Hybrid Runbook Worker.
- Stejný uživatel by také vyžadoval přístup přispěvatele virtuálních počítačů na počítači, který je hostitelem role Hybrid Worker. Vzhledem k tomu, že přispěvatel virtuálních počítačů je role s vysokou úrovní oprávnění, zajistěte, aby ke správě hybridních prací měli přístup pouze omezená skupina uživatelů, čímž se snižuje potenciál porušení zabezpečení ohroženým vlastníkem.
Postupujte podle osvědčených postupů Azure RBAC.
Dodržujte zásadu nejnižších oprávnění a udělte uživatelům pouze požadovaná oprávnění pro spouštění runbooků vůči funkci Hybrid Worker. Nezadávejte neomezená oprávnění k počítači, který je hostitelem role Hybrid Runbook Worker. V případě neomezeného přístupu může uživatel s právy přispěvatele virtuálního počítače nebo oprávnění ke spouštění příkazů na počítači Hybrid Worker používat certifikát Spustit jako účtu Automation z počítače hybrid Worker a potenciálně umožnit škodlivému uživateli přístup jako přispěvatele předplatného. To by mohlo ohrozit zabezpečení vašeho prostředí Azure. Používejte vlastní role Hybrid Worker pro uživatele zodpovědné za správu runbooků Automation proti hybridním pracovním procesům runbooků a skupinám Hybrid Runbook Worker.
Zrušení registrace nepoužívaných nebo nereagovaných hybridních pracovních procesů
Důrazně doporučujeme, abyste nenakonfigurovali rozšíření Hybrid Worker na virtuálním počítači, který je hostitelem řadiče domény. Osvědčené postupy zabezpečení nenabídnou takové nastavení kvůli vysoce rizikové povaze vystavení řadičů domény potenciálním vektorům útoku prostřednictvím úloh Azure Automation. Řadiče domény by měly být vysoce zabezpečené a izolované od jiných než základních služeb, aby se zabránilo neoprávněnému přístupu a zachovala integritu prostředí Doména služby Active Directory Services (ADDS).
Ověřovací certifikát a identity
Pro ověřování runbooků doporučujeme používat spravované identity místo účtů Spustit jako. Účty Spustit jako představují režijní náklady na správu a plánujeme je vyřadit. Spravovaná identita z Microsoft Entra ID umožňuje runbooku snadno přistupovat k dalším prostředkům chráněným Microsoft Entra, jako je Azure Key Vault. Identitu spravuje platforma Azure a nevyžaduje, abyste zřizovali nebo rotovali tajné kódy. Další informace o spravovaných identitách ve službě Azure Automation najdete v tématu Spravované identity pro Azure Automation.
Účet Automation můžete ověřit pomocí dvou typů spravovaných identit:
- Identita přiřazená systémem je svázaná s vaší aplikací a je odstraněna, pokud je vaše aplikace odstraněna. Aplikace může mít pouze jednu identitu přiřazenou systémem.
- Identita přiřazená uživatelem je samostatný prostředek Azure, který se dá přiřadit k vaší aplikaci. Aplikace může mít více identit přiřazených uživatelem.
Další podrobnosti najdete v doporučených doporučených postupech pro spravovanou identitu.
Klíče Azure Automation pravidelně obměňujte. Regenerace klíčů zabraňuje budoucím registracím DSC nebo hybridního pracovního uzlu používat předchozí klíče. Doporučujeme používat hybridní pracovní procesy založené na rozšíření, které místo klíčů Automation používají ověřování Microsoft Entra. Microsoft Entra ID centralizuje řízení a správu identit a přihlašovacích údajů prostředků.
Zabezpečení dat
Zabezpečte prostředky ve službě Azure Automation, včetně přihlašovacích údajů, certifikátů, připojení a šifrovaných proměnných. Tyto prostředky jsou chráněné ve službě Azure Automation pomocí několika úrovní šifrování. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pro další kontrolu nad šifrovacími klíči můžete zadat klíče spravované zákazníkem, které se mají použít k šifrování prostředků služby Automation. Aby služba Automation mohla získat přístup ke klíčům, musí být tyto klíče k dispozici ve službě Azure Key Vault. Viz Šifrování zabezpečených prostředků pomocí klíčů spravovaných zákazníkem.
Ve výstupu úlohy nevytiskávejte žádné přihlašovací údaje ani podrobnosti o certifikátu. Operátor úlohy Automation, který je uživatelem s nízkými oprávněními, může zobrazit citlivé informace.
Udržujte platnou zálohu konfigurace služby Automation , jako jsou runbooky a prostředky, které zajišťují ověření a ochranu záloh, aby se zachovala kontinuita podnikových procesů po neočekávané události.
Izolace sítě
- Pomocí služby Azure Private Link můžete bezpečně připojit hybridní pracovní procesy runbooků ke službě Azure Automation. Privátní koncový bod Azure je síťové rozhraní, které vás soukromě a bezpečně připojuje ke službě Azure Automation využívající službu Azure Private Link. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě k efektivnímu přenesení služby Automation do vaší virtuální sítě.
Pokud chcete přistupovat k jiným službám a spravovat je soukromě prostřednictvím runbooků z virtuální sítě Azure, aniž byste museli otevřít odchozí připojení k internetu, můžete runbooky spouštět v Hybrid Workeru, který je připojený k virtuální síti Azure.
Zásady pro Azure Automation
Projděte si doporučení azure Policy pro Azure Automation a podle potřeby se chovejte. Viz zásady Azure Automation.
Další kroky
- Informace o používání řízení přístupu na základě role v Azure (Azure RBAC) najdete v tématu Správa oprávnění rolí a zabezpečení ve službě Azure Automation.
- Informace o tom, jak Azure chrání vaše soukromí a zabezpečuje vaše data, najdete v tématu Zabezpečení dat služby Azure Automation.
- Další informace o konfiguraci účtu Automation pro použití šifrování najdete v tématu Šifrování zabezpečených prostředků ve službě Azure Automation.