Azure Automation のセキュリティのベスト プラクティス
重要
Azure Automation 実行アカウント (クラシック実行アカウントを含む) は 2023 年 9 月 30 日に廃止され、マネージド ID に置き換えられました。 Azure portal を通じて実行アカウントを作成または更新することはできなくなります。 詳細については、既存の実行アカウントからマネージド ID への移行に関する記事を参照してください。
この記事では、Automation ジョブを安全に実行するためのベスト プラクティスについて詳しく説明します。 Azure Automation は、頻繁かつ時間がかかり、エラーが発生しやすいインフラストラクチャ管理と運用タスク、およびミッション クリティカルなオペレーションを調整するプラットフォームを提供します。 このサービスを使用すると、Automation Runbook と呼ばれるスクリプトを、クラウド環境やハイブリッド環境間でシームレスに実行できます。
Azure Automation サービスのプラットフォーム コンポーネントは、積極的にセキュリティで保護され、強化されています。 このサービスでは、堅牢なセキュリティとコンプライアンスのチェックが行われます。 Microsoft クラウド セキュリティ ベンチマークは、Azure 上のワークロード、データ、およびサービスのセキュリティを強化するために役立つベスト プラクティスと推奨事項について詳しく説明します。 Azure Automation 用の Azure セキュリティ ベースラインに関する記事も参照してください。
Automation アカウントの構成をセキュリティで保護する
このセクションでは、Automation アカウントをセキュリティで保護して構成する方法について説明します。
アクセス許可
Automation リソースへのアクセスを許可する場合は、最小特権の原則に従って作業を完了してください。 Automation の詳細な RBAC ロールを実装し、サブスクリプション レベルなど、広範なロールまたはスコープを割り当てないようにします。 カスタム ロールを作成する場合は、ユーザーが必要とするアクセス許可のみを含めます。 ロールとスコープを制限することで、セキュリティ プリンシパルが侵害された場合にリスクにさらされるリソースを制限することができます。 ロールベースのアクセス制御の概念の詳細については、Azure のロールベースのアクセス制御のベストプラクティスに関する記事を参照してください。
ワイルドカード (*) を持つアクションを含むロールは使用しないでください。これは Automation リソースまたはサブリソースへのフルアクセスを意味するためです (例: automationaccounts /*/ read)。 代わりに、必要なアクセス許可に対してのみ特定のアクションを使用してください。
Automation アカウント内のすべての Runbook へのアクセスをユーザーが必要としない場合は、Runbook レベルでのロールベースのアクセスを構成します。
Automation 共同作成者などの高度な特権を持つロールの数を制限して、侵害された所有者による侵害の可能性を低減します。
Microsoft Entra Privileged Identity Management を使用して、特権アカウントを悪意のあるサイバー攻撃から保護し、レポートやアラートを通じての特権アカウントの使用状況の可視性を高めます。
Hybrid Runbook Worker ロールをセキュリティで保護する
Log Analytics エージェントに依存しないHybrid Runbook Worker VM 拡張機能を使用して、Hybrid Worker をインストールします。 Microsoft Entra ID ベースの認証を利用するため、このプラットフォームをお勧めします。 Azure Automation のHybrid Runbook Worker機能を使用すると、Azure または Azure 以外のコンピューターでロールをホストしているコンピューター上で Runbook を直接実行して、ローカル環境で Automation ジョブを実行できます。
- Hybrid worker およびハイブリッド グループの登録または登録解除、Hybrid Runbook worker グループに対する Runbook の実行などの操作を管理するユーザーには、高い特権を持つユーザー ロールまたはハイブリッド worker カスタム ロールのみを使用してください。
- 同じユーザーが、ハイブリッド Worker ロールをホストするマシン上で VM 共同作成者アクセスも必要とすることもあります。 VM 共同作成者は高い特権を持つロールであるため、限られた適切なユーザーだけがハイブリッド作業を管理するためのアクセス権を持っているようにしてください。こうすることで、侵害された所有者による侵害の可能性が低減します。
「Azure RBAC のベストプラクティス」に従ってください。
最小限の特権の原則に従い、ハイブリッド worker に対する runbook の実行に必要なアクセス許可のみをユーザーに付与します。 ハイブリッド runbook worker ロールをホストしているマシンに無制限のアクセス許可を付与しないでください。 アクセスが制限されない場合、VM 共同作成者権限を持つユーザー、またはハイブリッド ワーカー マシンに対してコマンドを実行するためのアクセス許可を持つユーザーは、ハイブリッド ワーカー マシンから Automation Account Run As 証明書を使用できます。この場合、悪意のあるユーザーがサブスクリプション共同作成者としてアクセスできる可能性があります。 これにより、Azure 環境のセキュリティが危険にさらされる可能性があります。 Hybrid Runbook worker およびハイブリッド Runbook worker グループに対する Automation Runbook の管理を担当するユーザーには、ハイブリッド worker カスタム ロールを使用します。
未使用または応答しないハイブリッド worker の登録を解除します。
ドメイン コントローラーをホストする仮想マシンでハイブリッド worker 拡張機能を構成しないことを強くお勧めします。 セキュリティのベスト プラクティスでは、Azure Automation ジョブを介して潜在的な攻撃ベクトルにドメイン コントローラーが公開されるという高リスクの性質により、このようなセットアップは推奨されません。 ドメイン コントローラーは、未承認のアクセスを防ぎ、Active Directory Domain Services (ADDS) 環境の整合性を維持するために、高度にセキュリティ保護され、重要でないサービスから分離されている必要があります。
認証証明書と ID
Runbook 認証の場合は、実行アカウントの代わりに マネージド ID を使用することをお勧めします。 実行アカウントは管理オーバーヘッドであるため、廃止する予定です。 アプリで Microsoft Entra ID のマネージド ID を使用すると、他の Microsoft Entra で保護されたリソース (Azure Key Vault など) に簡単にアクセスできます。 ID は Azure プラットフォームによって管理され、ユーザーがシークレットをプロビジョニングまたはローテーションする必要はありません。 Azure Automation のマネージド ID の詳細については、Azure Automation のマネージド ID に関するページを参照してください
Automation アカウントは、次の 2 種類のマネージド ID を使用して認証できます。
- システム割り当て ID はアプリケーションに関連付けられているため、アプリが削除されると削除されます。 アプリは 1 つのシステム割り当て ID しか持つことはできません。
- ユーザー割り当て ID は、アプリに割り当てることができるスタンドアロン Azure リソースです。 アプリは複数のユーザー割り当て ID を持つことができます。
その他の詳細については、「マネージド ID のベスト プラクティスに関する推奨事項」に従ってください。
Azure Automation キーを定期的にローテーションします。 キーの再生成により、将来の DSC またはハイブリッド worker ノードの登録で以前のキーを使用できなくなります。 Automation キーの代わりに Microsoft Entra 認証を使用する拡張機能ベースのハイブリッド worker を使用することをおすすめします。 Microsoft Entra により、ID およびリソースの資格情報の制御と管理が一元化されます。
データのセキュリティ
資格情報、証明書、接続、暗号化された変数などの Azure Automation の資産をセキュリティで保護します。 これらの資産は、Azure Automation で複数のレベルの暗号化を使用して保護されます。 規定では、データは Microsoft のマネージド キーで暗号化されます。 暗号化キーをさらに制御するために、Automation 資産の暗号化に使用する目的で、顧客が管理するキーを提供できます。 Automation サービスからキーにアクセスできるように、これらのキーは Azure Key Vault 内に置かれている必要があります。 カスタマー マネージド キーを使用したセキュリティで保護された資産の暗号化に関する記事を参照してください。
ジョブの出力には、資格情報や証明書の詳細を出力しないでください。 権限の低いユーザーである Automation ジョブ オペレーターは、機密情報を表示できます。
Runbook や資産などの Automation 構成の有効なバックアップを維持することで、バックアップが検証および保護され、予期しないイベントの発生後でもビジネスの継続性が維持されるようにします。
ネットワークの分離
- Hybrid runbook worker を Azure Automation に安全に接続するには、Azure Private Link を使用します。 Azure プライベート エンドポイントは、Azure Private Link を使用する Azure Automation サービスにプライベートかつ安全に接続するためのネットワーク インターフェイスです。 プライベート エンドポイントでは、ご自分の仮想ネットワーク (VNet) のプライベート IP アドレスを使用して、効率的に Automation サービスを VNet に取り込みます。
インターネットへの送信接続を開かずに、Azure VNet から Runbook を介して他のサービスにプライベートにアクセスして管理する場合は、Azure VNet に接続されているハイブリッド Worker で Runbook を実行できます。
Azure Automation のポリシー
Azure Automation の Azure Policy の推奨事項を確認し、必要に応じて操作します。 「Azure Automation ポリシー」を参照してください。
次のステップ
- Azure のロールベースのアクセス制御 (Azure RBAC) を使用する方法については、「Azure Automation でのロールのアクセス許可とセキュリティの管理」を参照してください。
- Azure がお客様のプライバシーを保護し、データを保護する方法については、Azure Automation データ セキュリティに関する記事を参照してください。
- 暗号化を使用するように Automation アカウントを構成する方法については、「Azure Automation でのセキュリティで保護された資産の暗号化」を参照してください。