Najlepsze rozwiązania dotyczące zabezpieczeń w usłudze Azure Automation
Ważne
Konta Uruchom jako usługi Azure Automation, w tym klasyczne konta Uruchom jako, zostały wycofane 30 września 2023 r. i zastąpione tożsamościami zarządzanymi. Nie będzie już można tworzyć ani odnawiać kont Uruchom jako za pośrednictwem witryny Azure Portal. Aby uzyskać więcej informacji, zobacz przeprowadzanie migracji z istniejących kont Uruchom jako do tożsamości zarządzanej.
W tym artykule szczegółowo przedstawiono najlepsze rozwiązania dotyczące bezpiecznego wykonywania zadań automatyzacji. Usługa Azure Automation udostępnia platformę do organizowania częstych, czasochłonnych, podatnych na błędy zadań zarządzania infrastrukturą i zadań operacyjnych, a także operacji o znaczeniu krytycznym. Ta usługa umożliwia bezproblemowe wykonywanie skryptów nazywanych elementami Runbook automatyzacji w środowiskach chmurowych i hybrydowych.
Składniki platformy usługi Azure Automation Service są aktywnie zabezpieczone i wzmocnione. Usługa przeprowadza niezawodne kontrole zabezpieczeń i zgodności. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera szczegółowe informacje o najlepszych rozwiązaniach i zaleceniach, które pomogą zwiększyć bezpieczeństwo obciążeń, danych i usług na platformie Azure. Zobacz również punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Automation.
Bezpieczna konfiguracja konta usługi Automation
Ta sekcja zawiera instrukcje dotyczące bezpiecznego konfigurowania konta usługi Automation.
Uprawnienia
Postępuj zgodnie z zasadą najniższych uprawnień, aby wykonać pracę podczas udzielania dostępu do zasobów usługi Automation. Zaimplementuj szczegółowe role RBAC automatyzacji i unikaj przypisywania szerszych ról lub zakresów, takich jak poziom subskrypcji. Podczas tworzenia ról niestandardowych uwzględnij tylko wymagane uprawnienia użytkowników. Ograniczając role i zakresy, ograniczasz zasoby, które są zagrożone, jeśli podmiot zabezpieczeń kiedykolwiek zostanie naruszony. Aby uzyskać szczegółowe informacje na temat pojęć związanych z kontrolą dostępu opartą na rolach, zobacz Azure role-based access control best practices (Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach na platformie Azure).
Unikaj ról obejmujących akcje z symbolem wieloznacznymi (*), ponieważ oznacza pełny dostęp do zasobu usługi Automation lub zasobu podrzędnego, na przykład automationaccounts/*/read. Zamiast tego należy używać określonych akcji tylko dla wymaganych uprawnień.
Skonfiguruj dostęp oparty na rolach na poziomie elementu Runbook, jeśli użytkownik nie wymaga dostępu do wszystkich elementów Runbook na koncie usługi Automation.
Ogranicz liczbę ról o wysokim poziomie uprawnień, takich jak Współautor usługi Automation, aby zmniejszyć potencjalne naruszenie przez naruszonego właściciela.
Użyj usługi Microsoft Entra Privileged Identity Management , aby chronić uprzywilejowane konta przed złośliwymi cyberatakami, aby zwiększyć wgląd w ich użycie za pośrednictwem raportów i alertów.
Zabezpieczanie roli hybrydowego procesu roboczego elementu Runbook
Zainstaluj hybrydowe procesy robocze przy użyciu rozszerzenia hybrydowego procesu roboczego elementu Runbook, które nie ma żadnej zależności od agenta usługi Log Analytics. Zalecamy tę platformę, ponieważ korzysta z uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft. Funkcja hybrydowego procesu roboczego elementu Runbook usługi Azure Automation umożliwia wykonywanie elementów Runbook bezpośrednio na maszynie obsługującej rolę na platformie Azure lub na maszynie spoza platformy Azure w celu wykonywania zadań automatyzacji w środowisku lokalnym.
- Używaj tylko użytkowników z wysokimi uprawnieniami lub ról niestandardowych hybrydowych procesów roboczych dla użytkowników odpowiedzialnych za zarządzanie operacjami, takimi jak rejestrowanie lub wyrejestrowywanie hybrydowych procesów roboczych i grup hybrydowych oraz wykonywanie elementów Runbook w grupach hybrydowych procesów roboczych.
- Ten sam użytkownik będzie również wymagać dostępu współautora maszyny wirtualnej na maszynie hostująca rolę hybrydowego procesu roboczego. Ponieważ współautor maszyny wirtualnej jest rolą o wysokim poziomie uprawnień, upewnij się, że tylko ograniczony zestaw praw użytkowników ma dostęp do zarządzania hybrydowymi działami, co zmniejsza potencjalne naruszenie przez naruszonego właściciela.
Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi kontroli dostępu opartej na rolach platformy Azure.
Postępuj zgodnie z zasadą najniższych uprawnień i przyznaj użytkownikom tylko wymagane uprawnienia do wykonywania elementu Runbook względem hybrydowego procesu roboczego. Nie udostępniaj nieograniczonych uprawnień do maszyny obsługującej rolę hybrydowego procesu roboczego elementu Runbook. W przypadku nieograniczonego dostępu użytkownik mający uprawnienia współautora maszyny wirtualnej lub mający uprawnienia do uruchamiania poleceń na maszynie hybrydowej procesu roboczego może używać certyfikatu Uruchom jako konta usługi Automation z maszyny hybrydowej procesu roboczego i może potencjalnie zezwolić na złośliwy dostęp użytkownika jako współautor subskrypcji. Może to zagrozić bezpieczeństwu środowiska platformy Azure. Użyj ról niestandardowych hybrydowych procesów roboczych dla użytkowników odpowiedzialnych za zarządzanie elementami Runbook automatyzacji względem hybrydowych procesów roboczych runbook i hybrydowych grup procesów roboczych elementu Runbook.
Wyrejestruj wszystkie nieużywane lub nieaktywne hybrydowe procesy robocze.
Zdecydowanie zalecamy, aby nigdy nie skonfigurować rozszerzenia hybrydowego procesu roboczego na maszynie wirtualnej hostujące kontroler domeny. Najlepsze rozwiązania w zakresie zabezpieczeń nie doradzają takiej konfiguracji ze względu na wysoki poziom ryzyka ujawnienia kontrolerów domeny potencjalnym wektorom ataków za pośrednictwem zadań usługi Azure Automation. Kontrolery domeny powinny być wysoce zabezpieczone i odizolowane od nieistotnych usług, aby zapobiec nieautoryzowanemu dostępowi i utrzymywać integralność środowiska usług domena usługi Active Directory (ADDS).
Certyfikat uwierzytelniania i tożsamości
W przypadku uwierzytelniania elementu Runbook zalecamy używanie tożsamości zarządzanych zamiast kont Uruchom jako. Konta Uruchom jako są obciążeniem administracyjnym i planujemy ich wycofanie. Tożsamość zarządzana z usługi Microsoft Entra ID umożliwia elementowi Runbook łatwe uzyskiwanie dostępu do innych chronionych zasobów firmy Microsoft, takich jak Azure Key Vault. Tożsamość jest zarządzana przez platformę Azure i nie wymaga aprowizacji ani rotacji żadnych wpisów tajnych. Aby uzyskać więcej informacji na temat tożsamości zarządzanych w usłudze Azure Automation, zobacz Tożsamości zarządzane dla usługi Azure Automation
Konto usługi Automation można uwierzytelnić przy użyciu dwóch typów tożsamości zarządzanych:
- Tożsamość przypisana przez system jest powiązana z aplikacją i jest usuwana, jeśli aplikacja zostanie usunięta. Aplikacja może mieć tylko jedną tożsamość przypisaną przez system.
- Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do aplikacji. Aplikacja może mieć wiele tożsamości przypisanych przez użytkownika.
Aby uzyskać więcej informacji, postępuj zgodnie z zaleceniami dotyczącymi najlepszych rozwiązań dotyczących tożsamości zarządzanej.
Okresowo obracaj klucze usługi Azure Automation. Ponowne uruchomienie klucza uniemożliwia rejestrację węzła DSC lub hybrydowego węzła roboczego przy użyciu poprzednich kluczy. Zalecamy używanie hybrydowych procesów roboczych opartych na rozszerzeniach korzystających z uwierzytelniania Entra firmy Microsoft zamiast kluczy usługi Automation. Microsoft Entra ID centralizuje kontrolę tożsamości i poświadczenia zasobów oraz zarządzanie nimi.
Bezpieczeństwo danych
Zabezpieczanie zasobów w usłudze Azure Automation, w tym poświadczeń, certyfikatów, połączeń i zaszyfrowanych zmiennych. Te zasoby są chronione w usłudze Azure Automation przy użyciu wielu poziomów szyfrowania. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz podać klucze zarządzane przez klienta do użycia na potrzeby szyfrowania zasobów usługi Automation. Te klucze muszą znajdować się w usłudze Azure Key Vault dla usługi Automation, aby móc uzyskiwać dostęp do kluczy. Zobacz Szyfrowanie bezpiecznych zasobów przy użyciu kluczy zarządzanych przez klienta.
Nie wyświetlaj żadnych poświadczeń ani szczegółów certyfikatu w danych wyjściowych zadania. Operator zadania usługi Automation, który jest użytkownikiem o niskim poziomie uprawnień, może wyświetlać poufne informacje.
Zachowaj prawidłową kopię zapasową konfiguracji usługi Automation , na przykład elementy Runbook i zasoby, dzięki czemu kopie zapasowe są weryfikowane i chronione w celu zachowania ciągłości działania po nieoczekiwanym zdarzeniu.
Izolacja sieciowa
- Użyj usługi Azure Private Link , aby bezpiecznie połączyć hybrydowych procesów roboczych elementów runbook z usługą Azure Automation. Prywatny punkt końcowy platformy Azure to interfejs sieciowy, który łączy Cię prywatnie i bezpiecznie z usługą Azure Automation obsługiwaną przez usługę Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, aby skutecznie przenieść usługę automation do sieci wirtualnej.
Jeśli chcesz uzyskać dostęp do innych usług i zarządzać nimi prywatnie za pośrednictwem elementów Runbook z sieci wirtualnej platformy Azure bez konieczności otwierania połączenia wychodzącego z Internetem, możesz wykonywać elementy Runbook w hybrydowym procesie roboczym połączonym z siecią wirtualną platformy Azure.
Zasady dla usługi Azure Automation
Zapoznaj się z zaleceniami usługi Azure Policy dotyczącymi usługi Azure Automation i postępuj zgodnie z potrzebami. Zobacz Zasady usługi Azure Automation.
Następne kroki
- Aby dowiedzieć się, jak używać kontroli dostępu opartej na rolach (RBAC) platformy Azure, zobacz Zarządzanie uprawnieniami ról i zabezpieczeniami w usłudze Azure Automation.
- Aby uzyskać informacje na temat ochrony prywatności i zabezpieczania danych przez platformę Azure, zobacz Zabezpieczenia danych usługi Azure Automation.
- Aby dowiedzieć się więcej na temat konfigurowania konta usługi Automation do używania szyfrowania, zobacz Szyfrowanie bezpiecznych zasobów w usłudze Azure Automation.