Azure-beveiligingsbasislijn voor Automation
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op Automation. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Automation.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Automation zijn uitgesloten. Als u wilt zien hoe Automation volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige automation-toewijzingsbestand voor beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met een hoge impact van Automation, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | MGMT/Governance |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Implementeer de service in een virtueel netwerk. Wijs privé-IP-adressen toe aan de resource (indien van toepassing). Dit is de aanbevolen configuratie vanuit het oogpunt van beveiliging; Hiervoor moet u echter Hybrid Runbook Worker configureren die is verbonden met een virtueel Azure-netwerk & momenteel geen ondersteuning biedt voor cloudtaken.
Netwerken voor Azure Automation
Naslaginformatie: Azure Private Link gebruiken om netwerken veilig te verbinden met Azure Automation
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: implementeer privé-eindpunten voor alle Azure-resources die de functie Private Link ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Naslaginformatie: Azure Private Link gebruiken om netwerken veilig te verbinden met Azure Automation
Openbare netwerktoegang uitschakelen
Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Azure Automation-service ondersteunt het uitschakelen van openbare netwerktoegang via een ingebouwde Azure Policy of u kunt de PowerShell-cmdlet ook gebruiken - Openbare netwerktoegangsvlagmen instellen
Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de PowerShell-cmdlet of een schakeloptie voor openbare netwerktoegang.
Naslaginformatie: Automation-accounts moeten openbare netwerktoegang uitschakelen
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheer voor meer informatie.
IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: service ondersteunt het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Opmerkingen bij de functie: Hybrid Runbook Worker-functie van gebruiker op basis van extensies (v2) van Azure Automation gebruikt om runbooks rechtstreeks uit te voeren op een Azure- of niet-Azure-computer via servers die zijn geregistreerd bij servers met Azure Arc, maakt gebruik van Azure AD-verificatie.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: overzicht van Azure Automation-accountverificatie
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Azure Automation-service ondersteunt lokale verificatiemethode op basis van certificaten voor toegang tot gegevensvlakken via windows op basis van een agent (v1) of Linux Hybrid Runbook Worker, maar dit is niet de aanbevolen benadering voor het onboarden van Hybrid Workers. Gebruik op extensie gebaseerde (v2) hybrid runbook worker-installatiemethode als de aanbevolen methode. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: beperk het gebruik van lokale verificatiemethoden voor toegang tot gegevensvlakken. Gebruik in plaats daarvan Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Lokale verificatie uitschakelen in Automation
Naslaginformatie: Een op een agent gebaseerde Windows Hybrid Runbook Worker implementeren in Automation
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Door het systeem beheerde identiteit wordt standaard gemaakt als het account wordt gemaakt via de portal, maar niet standaard als het account wordt gemaakt via API/cmdlet. Kan ook worden ingeschakeld na het maken van een account.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Beheerde identiteiten
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Beveiligde assets in Azure Automation referenties, certificaten, verbindingen en versleutelde variabelen bevatten. Deze assets worden versleuteld en opgeslagen in Automation met behulp van een unieke sleutel die wordt gegenereerd voor elk Automation-account. Automation slaat de sleutel op in de door het systeem beheerde Key Vault-service. Voordat u een beveiligde asset opslaat, laadt Automation de sleutel uit Key Vault en gebruikt deze vervolgens om de asset te versleutelen.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Referenties beheren in Azure Automation
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-7: Volg het principe just enough administration (minimale bevoegdheden)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Automation kan worden geïntegreerd met Azure RBAC om de resources te beheren. Met RBAC beheert u de toegang tot Azure-resources via roltoewijzingen. U kunt rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Bepaalde resources hebben vooraf gedefinieerde, ingebouwde rollen. U kunt deze rollen inventariseren of er query's op uitvoeren via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Rolmachtigingen en -beveiliging beheren in Azure Automation
PA-8: Toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Opmerkingen bij de functie: Lockbox is niet geïmplementeerd voor Azure Automation , in plaats daarvan versleutelt Azure Automation service runbookscript en DSC-configuratie met door de klant beheerde sleutels voordat deze worden opgeslagen in sql-database, waardoor de automatiseringsresources worden versleuteld.
/en-us/azure/automation/whats-new-archive#added-capability-to-keep-automation-runbooks-and-dsc-scripts-encrypted-by-default
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Gegevens-in-transitversleuteling
Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: TLS 1.2 voor Azure Automation
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Beveiligde assets in Azure Automation referenties, certificaten, verbindingen en versleutelde variabelen bevatten. Deze assets worden beveiligd in Azure Automation met behulp van meerdere versleutelingsniveaus. Uw Azure Automation-account maakt standaard gebruik van door Microsoft beheerde sleutels.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Door Microsoft beheerde sleutels
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Automation:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Versleuteling van inactieve gegevens met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waarvoor versleuteling met behulp van door de klant beheerde sleutels nodig is. Versleuteling van data-at-rest inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Naslaginformatie: Versleuteling van beveiligde assets in Azure Automation
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Azure Automation biedt geen ondersteuning voor integratie met Key Vault systeemeigen om aangepaste geheimen op te slaan die worden gebruikt door hun Automation-runbooks, maar ze hebben toegang tot Key Vault met behulp van de Key Vault-cmdlets vanuit de Automation-runbookcode.
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) in het workload-, service- of toepassingsniveau, moet u de aanbevolen procedures voor sleutelbeheer volgen: gebruik een sleutelhiërarchie om een afzonderlijke dek (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels worden geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Beveiligde assets in Azure Automation referenties, certificaten, verbindingen en versleutelde variabelen bevatten. Deze assets worden versleuteld en opgeslagen in Automation met behulp van een unieke sleutel die wordt gegenereerd voor elk Automation-account. Automation slaat de sleutel op in de door het systeem beheerde Key Vault-service. Voordat u een beveiligde asset opslaat, laadt Automation de sleutel uit Key Vault en gebruikt deze vervolgens om de asset te versleutelen.
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken, importeren, roteren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat instellen in Azure Key Vault en de Azure-service (indien ondersteund) op basis van een gedefinieerd schema of wanneer het certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de toepassing, controleert u of ze nog steeds worden geroteerd met behulp van handmatige methoden in Azure Key Vault en de toepassing.
Naslaginformatie: Certificaten beheren in Azure Automation
Asset-management
Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Azure Policy ingebouwde definities voor Azure Automation
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service-/productaanbiedingen
Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Azure Automation kunt de status van runbooktaken en taakstromen verzenden naar uw Log Analytics-werkruimte. Taaklogboeken en taakstromen zijn zichtbaar in de Azure Portal of met PowerShell voor afzonderlijke taken.
Configuratierichtlijnen: schakel resourcelogboeken in voor de service. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype. Azure Automation kunt de status van runbooktaken en taakstromen verzenden naar uw Log Analytics-werkruimte. Taaklogboeken en taakstromen zijn zichtbaar in de Azure Portal of met PowerShell voor afzonderlijke taken.
Naslaginformatie: Diagnostische logboeken Azure Automation doorsturen naar Azure Monitor
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure Automation back-up via Azure Backup wordt niet ondersteund. Het is uw verantwoordelijkheid om ervoor te zorgen dat u een geldige back-up van de Automation-configuratie onderhoudt, zoals runbooks en assets.
U kunt Azure Resource Manager gebruiken om Automation-accounts en gerelateerde resources te implementeren. U kunt Azure Resource Manager-sjablonen exporteren om te gebruiken als back-ups voor het herstellen van Automation-accounts en gerelateerde resources. Gebruik Automation om de Api voor het exporteren van sjablonen van Azure Resource Manager regelmatig aan te roepen.
Volg (Automation Data Backup) [/azure/automation/automation-managing-data#data-backup] voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren. U kunt ook gebruikmaken van de richtlijnen voor het instellen van (herstel na noodgeval)[/azure/automation/automation-disaster-recovery?tabs=win-hrw%2Cps-script%2Coption-one] voor Automation-accounts.
U kunt ook de integratiefunctie voor broncodebeheer gebruiken om runbooks in het Automation-account up-to-date te houden met scripts in de opslagplaats voor broncodebeheer.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure Automation biedt geen systeemeigen back-upmechanisme. Het is uw verantwoordelijkheid om ervoor te zorgen dat u een geldige back-up van de Automation-configuratie onderhoudt, zoals runbooks en assets.
U kunt Azure Resource Manager gebruiken om Automation-accounts en gerelateerde resources te implementeren. U kunt Azure Resource Manager-sjablonen exporteren om te gebruiken als back-ups voor het herstellen van Automation-accounts en gerelateerde resources. Gebruik Automation om de Api voor het exporteren van sjablonen van Azure Resource Manager regelmatig aan te roepen.
U kunt ook de integratiefunctie voor broncodebeheer gebruiken om runbooks in het Automation-account up-to-date te houden met scripts in de opslagplaats voor broncodebeheer.
Back-up van Automation-gegevens
Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren. U kunt ook gebruikmaken van de richtlijnen voor het instellen van herstel na noodgevallen voor Automation-accounts.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen