Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo detalha as práticas recomendadas para executar com segurança os trabalhos de automação. A Automação do Azure fornece a plataforma para orquestrar tarefas operacionais e de gerenciamento de infraestrutura frequentes, demoradas e propensas a erros, bem como operações de missão crítica. Este serviço permite que os utilizadores executem scripts, conhecidos como livros de execução automática, perfeitamente em ambientes de nuvem e híbridos.
Os componentes de plataforma do Serviço de Automação do Azure são ativamente protegidos e reforçados. O serviço passa por verificações robustas de segurança e conformidade. O benchmark de segurança na nuvem da Microsoft detalha as práticas recomendadas e recomendações para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure. Consulte também a linha de base de segurança do Azure para Azure Automation.
Configuração segura da conta de automação
Esta seção o orienta na configuração segura de sua conta de automação.
Permissões
Siga o princípio do menor privilégio para realizar o trabalho ao conceder acesso aos recursos de automação. Implemente funções RBAC granulares de automação e evite atribuir funções ou escopos mais amplos, como nível de assinatura. Ao criar as funções personalizadas, inclua apenas as permissões de que os usuários precisam. Ao limitar funções e escopos, você limita os recursos que estão em risco se a entidade de segurança for comprometida. Para obter informações detalhadas sobre conceitos de controle de acesso baseado em função, consulte Práticas recomendadas de controle de acesso baseado em função do Azure.
Evite funções que incluam as Ações com um curinga (*), pois isso implica acesso total ao recurso de Automação ou a um subrecurso, por exemplo automationaccounts/*/read. Em vez disso, use ações específicas apenas para a permissão necessária.
Configure o acesso baseado em função ao nível de runbook se o utilizador não precisar de acesso a todos os runbooks na conta de Automação.
Limite o número de funções altamente privilegiadas, como Contribuidor de automação, para reduzir o potencial de violação por um proprietário comprometido.
Use o Microsoft Entra Privileged Identity Management para proteger as contas privilegiadas de ataques cibernéticos mal-intencionados para aumentar sua visibilidade sobre seu uso por meio de relatórios e alertas.
Protegendo a função de trabalhador do Hybrid Runbook
Instale os trabalhadores híbridos usando a extensão Hybrid Runbook Worker VM que não tem nenhuma dependência do agente do Log Analytics. Recomendamos esta plataforma, pois ela aproveita a autenticação baseada no Microsoft Entra ID. O recurso Hybrid Runbook Worker da Automação do Azure permite que execute runbooks diretamente numa máquina do Azure ou numa máquina que não seja do Azure para executar trabalhos de Automação no ambiente local.
- Use apenas usuários de alto privilégio ou funções personalizadas de trabalhador híbrido para usuários responsáveis pelo gerenciamento de operações, como registrar ou cancelar o registro de trabalhadores híbridos e grupos híbridos e executar runbooks em grupos de trabalhadores de runbook híbridos.
- O mesmo utilizador também necessitaria de acesso de contribuinte de VM na máquina que hospeda a função de trabalhador híbrido. Como o colaborador da VM é uma função de alto privilégio, garanta que apenas um conjunto limitado de usuários tenha acesso para gerenciar obras híbridas, reduzindo assim o potencial de violação por um proprietário comprometido.
Siga as melhores práticas do RBAC do Azure.
Siga o princípio de menor privilégio e conceda apenas as permissões necessárias aos usuários para execução de runbook em um trabalhador híbrido. Não forneça permissões irrestritas à máquina que hospeda a função híbrida de trabalho de runbook. Em caso de acesso irrestrito, um utilizador com direitos de Colaborador de VM ou com permissões para executar comandos na máquina de trabalho híbrida pode usar o certificado Run As da Conta de Automação da máquina de trabalho híbrida e pode potencialmente permitir que um utilizador mal-intencionado aceda como um contribuidor da subscrição. Isso pode comprometer a segurança do seu ambiente do Azure. Use funções personalizadas de trabalhador híbrido para usuários responsáveis por gerenciar runbooks de automação em relação a trabalhadores de runbook híbridos e grupos de trabalhadores de runbook híbridos.
Cancele o registro de trabalhadores híbridos não utilizados ou não responsivos.
É altamente recomendável que você nunca configure a extensão Hybrid Worker em uma máquina virtual que hospeda o controlador de domínio. As práticas recomendadas de segurança não aconselham essa configuração devido à natureza de alto risco de expor controladores de domínio a potenciais vetores de ataque por meio de trabalhos de Automação do Azure. Os controladores de domínio devem ser altamente protegidos e isolados de serviços não essenciais para impedir o acesso não autorizado e manter a integridade do ambiente dos Serviços de Domínio Ative Directory (ADDS).
Certificado de autenticação e identidades
Para autenticação de runbook, recomendamos que você use identidades gerenciadas. Uma identidade gerenciada do Microsoft Entra ID permite que seu runbook acesse facilmente outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault. A identidade é gerida pela plataforma Azure e não precisa de provisionar nem trocar segredos. Para obter mais informações sobre identidades gerenciadas na Automação do Azure, consulte Identidades gerenciadas para a Automação do Azure
Você pode autenticar uma conta de automação usando dois tipos de identidades gerenciadas:
- A identidade atribuída pelo sistema está vinculada ao seu aplicativo e é excluída se o aplicativo for excluído. Uma aplicação só pode ter uma identidade atribuída pelo sistema.
- A identidade atribuída pelo usuário é um recurso autônomo do Azure que pode ser atribuído ao seu aplicativo. Uma aplicação pode ter várias identidades atribuídas pelo utilizador.
Siga as recomendações de práticas recomendadas de identidade gerenciada para obter mais detalhes.
Rode as chaves do Azure Automation periodicamente. A regeneração de chaves impede que futuros registros de nó de trabalho híbrido ou DSC usem chaves anteriores. Recomendamos usar os trabalhadores híbridos baseados em extensão que usam a autenticação do Microsoft Entra em vez de chaves de automação. O Microsoft Entra ID centraliza o controle e o gerenciamento de identidades e credenciais de recursos.
Segurança de dados
Proteja os ativos na Automação do Azure, incluindo credenciais, certificados, conexões e variáveis criptografadas. Esses ativos são protegidos na Automação do Azure usando vários níveis de criptografia. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para obter controle adicional sobre chaves de criptografia, você pode fornecer chaves gerenciadas pelo cliente para usar na criptografia de ativos de automação. Essas chaves devem estar presentes no serviço Azure Key Vault for Automation para poder acessar as chaves. Consulte Criptografia de ativos seguros usando chaves gerenciadas pelo cliente.
Não imprimir credenciais ou detalhes do certificado na saída do trabalho. Um operador de tarefas de automação que é um utilizador de baixo privilégio pode visualizar as informações confidenciais.
Mantenha um backup válido da configuração de automação , como runbooks e ativos, garantindo que os backups sejam validados e protegidos para manter a continuidade dos negócios após um evento inesperado.
Isolamento da rede
- Use o Azure Private Link para conectar com segurança os trabalhadores de runbook híbridos à Automação do Azure. O Ponto de Extremidade Privado do Azure é uma interface de rede que o conecta de forma privada e segura a um serviço de Automação do Azure com tecnologia do Azure Private Link. O Ponto de Extremidade Privado usa um endereço IP privado da sua Rede Virtual (VNet), para trazer efetivamente o serviço de Automação para sua VNet.
Se você quiser acessar e gerenciar outros serviços de forma privada por meio de runbooks da VNet do Azure sem a necessidade de abrir uma conexão de saída com a Internet, poderá executar runbooks em um Trabalhador Híbrido conectado à VNet do Azure.
Políticas para a Automação do Azure
Analise as recomendações da Política do Azure para a Automação do Azure e aja conforme apropriado. Consulte Políticas de automação do Azure.
Próximos passos
- Para saber como usar o controle de acesso baseado em função do Azure (Azure RBAC), consulte Gerenciar permissões de função e segurança na Automação do Azure.
- Para obter informações sobre como o Azure protege sua privacidade e protege seus dados, consulte Segurança de dados da Automação do Azure.
- Para saber mais sobre como configurar a conta de automação para usar criptografia, consulte Criptografia de ativos seguros na Automação do Azure.