Najlepsze rozwiązania dotyczące zabezpieczeń w usłudze Azure Automation

W tym artykule szczegółowo przedstawiono najlepsze rozwiązania dotyczące bezpiecznego wykonywania zadań automatyzacji. Usługa Azure Automation udostępnia platformę do organizowania częstych, czasochłonnych, podatnych na błędy zadań zarządzania infrastrukturą i zadań operacyjnych, a także operacji o znaczeniu krytycznym. Ta usługa umożliwia bezproblemowe wykonywanie skryptów, zwanych runbookami automatyzacji, w środowiskach chmurowych i hybrydowych.

Składniki platformy usługi Azure Automation Service są aktywnie zabezpieczone i wzmocnione. Usługa przeprowadza niezawodne kontrole zabezpieczeń i zgodności. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera szczegółowe informacje o najlepszych rozwiązaniach i zaleceniach, które pomogą zwiększyć bezpieczeństwo obciążeń, danych i usług na platformie Azure. Zobacz również punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Automation.

Bezpieczna konfiguracja konta usługi Automation

Ta sekcja zawiera instrukcje dotyczące bezpiecznego konfigurowania konta usługi Automation.

Uprawnienia

1. Postępuj zgodnie z zasadą najniższych uprawnień, aby zrealizować zadanie podczas udzielania dostępu do zasobów automatyzacji. Zaimplementuj Automation granular RBAC roles i unikaj przypisywania szerszych ról lub zakresów, takich jak na poziomie subskrypcji. Podczas tworzenia ról niestandardowych uwzględnij tylko wymagane uprawnienia użytkowników. Ograniczając role i zakresy, ograniczasz zasoby, które są zagrożone, jeśli podmiot zabezpieczeń kiedykolwiek zostanie naruszony. Aby uzyskać szczegółowe informacje na temat pojęć związanych z kontrolą dostępu opartą na rolach, zobacz Azure role-based access control best practices (Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach na platformie Azure).

2. Unikaj ról obejmujących akcje z symbolem wieloznacznym (*), ponieważ oznacza to pełny dostęp do zasobu Automation lub zasobu podrzędnego, na przykład automationaccounts/*/read. Zamiast tego należy używać konkretnych działań tylko do wymaganych uprawnień.

3. Skonfiguruj dostęp oparty na rolach na poziomie Runbook, jeśli użytkownik nie wymaga dostępu do wszystkich Runbook na koncie usługi Automation.

4. Ogranicz liczbę ról o wysokim poziomie uprawnień, takich jak Współautor usługi Automation, aby zmniejszyć potencjalne naruszenie przez naruszonego właściciela.

5. Użyj usługi Microsoft Entra Privileged Identity Management , aby chronić uprzywilejowane konta przed złośliwymi cyberatakami, aby zwiększyć wgląd w ich użycie za pośrednictwem raportów i alertów.

Zabezpieczanie roli pracownika hybrydowego Runbook

1. Zainstaluj pracowników hybrydowych za pomocą rozszerzenia Hybrid Runbook Worker VM, które nie ma żadnej zależności od agenta usługi Log Analytics. Zalecamy tę platformę, ponieważ korzysta z uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft. Funkcja hybrydowego elementu Runbook Worker usługi Azure Automation umożliwia wykonywanie runbooków bezpośrednio na maszynie obsługującej rolę na platformie Azure lub na maszynie spoza platformy Azure, aby realizować zadania automatyzacji w środowisku lokalnym.

   • Używaj tylko użytkowników z wysokimi uprawnieniami lub niestandardowych ról dla pracowników hybrydowych dla użytkowników odpowiedzialnych za zarządzanie operacjami, takimi jak rejestracja lub wyrejestrowywanie pracowników hybrydowych i grup hybrydowych oraz wykonywanie runbooków w grupach pracowników hybrydowych.
   • Ten sam użytkownik będzie również potrzebować uprawnień współautora do maszyny wirtualnej na maszynie hostującej rolę hybrydowego agenta. Ponieważ współautor maszyny wirtualnej jest rolą o wysokim poziomie uprawnień, upewnij się, że tylko ograniczony zestaw praw użytkowników ma dostęp do zarządzania hybrydowymi działami, co zmniejsza potencjalne naruszenie przez naruszonego właściciela.

   Postępuj zgodnie z najlepszymi praktykami Azure RBAC.

2. Postępuj zgodnie z zasadą najmniejszych uprawnień i przyznaj użytkownikom tylko niezbędne uprawnienia do wykonywania runbooka na pracowniku hybrydowym. Nie udostępniaj nieograniczonych uprawnień maszynie pełniącej rolę hybrydowego pracownika Runbook. W przypadku nieograniczonego dostępu użytkownik mający uprawnienia współtwórcy maszyny wirtualnej lub posiadający uprawnienia do uruchamiania poleceń na hybrydowej maszynie roboczej, może używać certyfikatu Run As konta usługi Automation z hybrydowej maszyny roboczej, co może potencjalnie umożliwić złośliwemu użytkownikowi dostęp jako współtwórca subskrypcji. Może to zagrozić bezpieczeństwu środowiska platformy Azure. Użyj niestandardowych ról pracowników hybrydowych dla użytkowników odpowiedzialnych za zarządzanie Runbook automatyzacji względem hybrydowych pracowników procesu Runbook i hybrydowych grup pracowników procesu Runbook.

3. Wyrejestruj wszystkie nieużywane lub nieaktywne hybrydowe pracowniki.

4. Zdecydowanie zalecamy, aby nigdy nie konfigurować rozszerzenia Hybrydowego Programu Roboczego na maszynie wirtualnej hostującej kontrolera domeny. Najlepsze rozwiązania w zakresie zabezpieczeń nie doradzają takiej konfiguracji ze względu na wysoki poziom ryzyka ujawnienia kontrolerów domeny potencjalnym wektorom ataków za pośrednictwem zadań usługi Azure Automation. Kontrolery domeny powinny być wysoce zabezpieczone i odizolowane od nieistotnych usług, aby zapobiec nieautoryzowanemu dostępowi i utrzymywać integralność środowiska usług Active Directory Domain Services (ADDS).

Certyfikat uwierzytelniania i tożsamości

1. W przypadku uwierzytelniania Runbook zalecamy używanie tożsamości zarządzanych. Tożsamość zarządzana z Microsoft Entra ID umożliwia twojemu runbookowi łatwy dostęp do innych chronionych zasobów Microsoft Entra, takich jak Azure Key Vault. Tożsamość jest zarządzana na platformie Azure i nie wymaga aprowizacji ani rotacji żadnych tajemnic. Aby uzyskać więcej informacji na temat tożsamości zarządzanych w usłudze Azure Automation, zobacz Tożsamości zarządzane dla usługi Azure Automation

   Konto usługi Automation można uwierzytelnić przy użyciu dwóch typów tożsamości zarządzanych:

   • Tożsamość przypisana przez system jest powiązana z aplikacją i jest usuwana, jeśli aplikacja zostanie usunięta. Aplikacja może mieć tylko jedną tożsamość przypisaną przez system.
   • Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do aplikacji. Aplikacja może mieć wiele tożsamości przypisanych przez użytkownika.

   Aby uzyskać więcej informacji, postępuj zgodnie z zaleceniami dotyczącymi najlepszych praktyk tożsamości zarządzanej.

2. Okresowo obracaj klucze usługi Azure Automation. Ponowne uruchomienie klucza uniemożliwia rejestrację węzła DSC lub hybrydowego węzła roboczego przy użyciu poprzednich kluczy. Zalecamy używanie hybrydowych procesów roboczych opartych na rozszerzeniach, które korzystają z uwierzytelniania Microsoft Entra zamiast kluczy Automatyzacji. Microsoft Entra ID centralizuje kontrolę tożsamości i poświadczenia zasobów oraz zarządzanie nimi.

Bezpieczeństwo danych

1. Zabezpieczanie zasobów w usłudze Azure Automation, w tym poświadczeń, certyfikatów, połączeń i zaszyfrowanych zmiennych. Te zasoby są chronione w usłudze Azure Automation przy użyciu wielu poziomów szyfrowania. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz podać klucze zarządzane przez klienta do użycia na potrzeby szyfrowania zasobów usługi Automation. Te klucze muszą znajdować się w usłudze Azure Key Vault dla usługi Automation, aby móc uzyskiwać dostęp do kluczy. Zobacz Szyfrowanie bezpiecznych zasobów przy użyciu kluczy zarządzanych przez klienta.

2. Nie wyświetlaj żadnych poświadczeń ani szczegółów certyfikatu w wynikach zadania. Operator zadania usługi Automation, który jest użytkownikiem o ograniczonych uprawnieniach, może wyświetlać poufne informacje.

3. Zachowaj prawidłową kopię zapasową konfiguracji usługi Automation, taką jak runbooki i zasoby, zapewniając, że kopie zapasowe są weryfikowane i chronione, aby utrzymać ciągłość działania po nieoczekiwanym zdarzeniu.

Izolacja sieciowa

1. Użyj Azure Private Link aby bezpiecznie połączyć hybrydowych pracowników runbooka z Azure Automation. Prywatny punkt końcowy platformy Azure to interfejs sieciowy, który łączy Cię prywatnie i bezpiecznie z usługą Azure Automation obsługiwaną przez usługę Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z Twojej sieci wirtualnej (VNet), aby skutecznie wprowadzić usługę automatyzacji do tej sieci.

Jeśli chcesz uzyskać dostęp do innych usług i zarządzać nimi prywatnie za pośrednictwem elementów Runbook z sieci wirtualnej platformy Azure bez konieczności otwierania połączenia wychodzącego z Internetem, możesz wykonywać elementy Runbook w hybrydowym procesie roboczym połączonym z siecią wirtualną platformy Azure.

Zasady dla usługi Azure Automation

Zapoznaj się z zaleceniami usługi Azure Policy dotyczącymi usługi Azure Automation i postępuj zgodnie z potrzebami. Zobacz Zasady usługi Azure Automation.

Następne kroki

• Aby dowiedzieć się, jak używać kontroli dostępu opartej na rolach (RBAC) platformy Azure, zobacz Zarządzanie uprawnieniami ról i zabezpieczeniami w usłudze Azure Automation.
• Aby uzyskać informacje na temat ochrony prywatności i zabezpieczania danych przez platformę Azure, zobacz Zabezpieczenia danych usługi Azure Automation.
• Aby dowiedzieć się więcej na temat konfigurowania konta usługi Automation do używania szyfrowania, zobacz Szyfrowanie bezpiecznych zasobów w usłudze Azure Automation.