Compartilhar via


Melhores práticas de segurança na Automação do Azure

Importante

As contas Executar como da Automação do Azure, incluindo contas Executar como Clássicas, foram desativadas em 30 de setembro de 2023 e substituídas por Identidades Gerenciadas. Não será mais possível criar ou renovar contas Executar como por meio do portal do Azure. Para obter mais informações, veja migrar de uma conta Executar como existente para identidade gerenciada.

Este artigo fornece detalhes das melhores práticas para executar trabalhos de automação com segurança. A Automação do Azure fornece a plataforma para orquestrar tarefas operacionais e de gerenciamento de infraestrutura frequentes, demoradas e propensas a erros, bem como operações críticas. Esse serviço permite que você execute scripts, conhecidos como runbooks de automação, perfeitamente em ambientes híbridos e de nuvem.

Os componentes de plataforma do serviço de Automação do Azure são protegidos ativamente. O serviço passa por verificações robustas de segurança e conformidade. o Microsoft Cloud Security Benchmark detalha as melhores práticas e recomendações para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure. Confira também Linha de base de segurança do Azure para a Automação do Azure.

Configuração segura da conta de Automação

Esta seção descreverá como configurar sua conta de Automação com segurança.

Permissões

  1. Siga o princípio de privilégios mínimos para realizar o trabalho ao permitir acesso aos recursos de Automação. Implemente funções RBAC granulares de Automação e evite atribuir funções ou escopos mais amplos, como nível da assinatura. Ao criar funções personalizadas, inclua apenas as permissões das quais os usuários precisam. Limitando as funções e o escopo, você limita os recursos que correrão riscos se a entidade de segurança for comprometida. Para obter informações detalhadas sobre os conceitos do controle de acesso baseado em função, confira Melhores práticas de controle de acesso baseado em função do Azure.

  2. Evite funções que incluam ações com um curinga (*), pois isso implica acesso completo ao recurso de Automação ou a um sub-recurso, por exemplo automationaccounts/*/read. Em vez disso, use ações específicas somente para a permissão necessária.

  3. Configure o acesso baseado em função em um runbook se o usuário não precisar ter acesso a todos os runbooks na conta de Automação.

  4. Limite o número de funções altamente privilegiadas, como Colaborador de Automação, a fim de reduzir o potencial de violação por um proprietário comprometido.

  5. Use o Microsoft Entra Privileged Identity Management para proteger as contas privilegiadas contra ataques cibernéticos mal-intencionados a fim de aumentar sua visibilidade do uso delas por meio de relatórios e alertas.

Como proteger uma função do Hybrid Runbook Worker

  1. Instale funções de trabalho híbridas usando a extensão de VM do Hybrid Runbook Worker, que não tem nenhuma dependência do agente do Log Analytics. Recomendamos essa plataforma, pois ela aproveita a autenticação baseada no Microsoft Entra ID. O recurso Hybrid Runbook Worker da Automação do Azure permite executar runbooks diretamente no computador que hospeda a função em um computador com Azure ou não Azure para executar trabalhos de Automação no ambiente local.

    • Use apenas usuários de alto privilégio ou funções de trabalho híbridas personalizadas para usuários responsáveis por gerenciar operações, como registrar ou cancelar o registro de funções de trabalho híbridas e de grupos híbridos e executar runbooks em grupos de funções de trabalho de runbook híbridas.
    • O mesmo usuário também precisará ter acesso de colaborador da VM no computador que hospeda a função de trabalho híbrida. Como o colaborador da VM é uma função de alto privilégio, verifique se apenas um conjunto certo limitado de usuários tem acesso para gerenciar funções de trabalho híbridas, reduzindo assim o potencial de violação por um proprietário comprometido.

    Siga as melhores práticas do RBAC do Azure.

  2. Siga o princípio de privilégios mínimos e conceda somente as permissões necessárias aos usuários para execução de runbook em uma função de trabalho híbrida. Não forneça permissões irrestritas ao computador que hospeda a função de trabalho de runbook híbrida. No caso de acesso irrestrito, um usuário com direitos de Colaborador da VM ou com permissões para executar comandos no computador da função de trabalho híbrida pode usar o certificado Executar como da Conta de Automação no computador da função de trabalho híbrida e poderá, potencialmente, permitir o acesso de um usuário mal-intencionado como colaborador da assinatura. Isso pode prejudicar a segurança do seu ambiente do Azure. Use funções de trabalho híbridas personalizadas para os usuários responsáveis por gerenciar runbooks de Automação em funções de trabalho de runbook híbridas e grupos de trabalho de runbook híbridos.

  3. Cancele o registro das funções de trabalho híbridas não utilizadas ou não responsivas.

  4. Recomendamos fortemente que você nunca configure a extensão do Hybrid Worker em uma máquina virtual que hospeda o controlador de domínio. As práticas recomendadas de segurança não recomendam essa configuração devido à natureza de alto risco da exposição de controladores de domínio a possíveis vetores de ataque por meio de trabalhos de Automação do Azure. Os controladores de domínio devem ser altamente seguros e isolados de serviços não essenciais para impedir o acesso não autorizado e manter a integridade do ambiente do Active Directory Domain Services (ADDS).

Certificado de autenticação e identidades

  1. Para a autenticação de runbook, recomendamos que você use identidades gerenciadas em vez de contas Executar como. As contas Executar como são uma sobrecarga administrativa e planejamos preteri-las. Uma identidade gerenciada do Microsoft Entra ID permite que seu runbook acesse facilmente outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault. A identidade é gerenciada pela plataforma do Azure e não exige provisionamento ou giro de nenhum segredo. Para obter mais informações sobre as identidades gerenciadas na Automação do Azure, confira Identidades gerenciadas na Automação do Azure

    Você pode autenticar uma conta de Automação usando dois tipos de identidades gerenciadas:

    • Uma identidade atribuída pelo sistema é vinculada ao seu aplicativo e é excluída se o aplicativo é excluído. Um aplicativo só pode ter uma identidade atribuída pelo sistema.
    • Uma identidade atribuída pelo usuário é um recurso independente do Azure que pode ser atribuído ao seu aplicativo. Um aplicativo pode ter várias identidades atribuídas pelo usuário.

    Siga as Recomendações de melhores práticas para identidades gerenciadas para ver mais detalhes.

  2. Gire as chaves de Automação do Azure periodicamente. A regeneração de chaves impede que futuros registros de nós de trabalho híbridos ou DSC usem as chaves anteriores. Recomendamos usar as funções de trabalho híbridas baseadas em extensão que usam a autenticação do Microsoft Entra em vez de chaves de Automação. O Microsoft Entra centraliza o controle e o gerenciamento de identidades e credenciais de recurso.

Segurança dos dados

  1. Proteja os ativos na Automação do Azure, incluindo credenciais, certificados, conexões e variáveis criptografadas. Esses ativos são protegidos na Automação do Azure usando vários níveis de criptografia. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para obter controle adicional sobre as chaves de criptografia, você pode fornecer chaves gerenciadas pelo cliente para uso para criptografia de ativos de Automação. Essas chaves precisam estar presentes no Azure Key Vault para que o serviço de Automação possa acessar as chaves. Confira Criptografia de ativos seguros usando chaves gerenciadas pelo cliente.

  2. Não imprima nenhuma credencial ou detalhes do certificado na saída do trabalho. Um operador de trabalho de Automação que é o usuário de baixo privilégio pode ver as informações confidenciais.

  3. Mantenha um backup válido da configuração de Automação, como runbooks e ativos, garantindo que os backups sejam validados e protegidos para manter a continuidade dos negócios após um evento inesperado.

Isolamento de rede

  1. Use o Link Privado do Azure para conectar com segurança as funções de trabalho de runbook híbridas à Automação do Azure. Um ponto de extremidade privado do Azure é um adaptador de rede que conecta você de maneira privada e segura a um serviço de Automação do Azure fornecido pelo Link Privado do Azure. O ponto de extremidade privado usa um endereço IP privado da sua VNet (Rede Virtual) para colocar o serviço efetivamente na VNet.

Caso você deseje acessar e gerenciar outros serviços de maneira privada por meio de runbooks na VNet do Azure sem a necessidade de abrir uma conexão de saída com a Internet, execute runbooks em um Hybrid Worker conectado à VNet do Azure.

Políticas da Automação do Azure

Revise as recomendações do Azure Policy para a Automação do Azure e tome medidas conforme apropriado. Confira Políticas da Automação do Azure.

Próximas etapas