مشاركة عبر

إدارة بيانات أتمتة Azure

  • مقالة

تحتوي هذه المقالة على العديد من المواضيع التي توضح كيفية حماية البيانات وتأمينها في بيئة "التنفيذ التلقائي في Azure".

TLS ل Azure Automation

لضمان أمان البيانات أثناء النقل إلى Azure Automation، نشجعك بشدة على تكوين استخدام بروتوكول أمان طبقة النقل (TLS). فيما يلي قائمة بالأساليب أو العملاء الذين يتصلون عبر HTTPS بخدمة التنفيذ التلقائي:

  • استدعاءات الإخطارات على الويب

  • عاملو سجلات التشغيل المختلطة، والتي تشمل الأجهزة التي تديرها إدارة التحديث وتتبع التغيير والمخزون.

  • عُقد DSC

تم العثور على الإصدارات القديمة من TLS/طبقة مآخذ توصيل آمنة، وبينما لا تزال تعمل حاليًا للسماح بالتوافق مع الإصدارات السابقة، إلا أنها not recommended. لا نوصي بوضوح بتعيين العامل الخاص بك لاستخدام TLS 1.2 فقط ما لم يكن ذلك ضروريًا لأنه يمكن أن يقاطع ميزات الأمان على مستوى النظام الأساسي التي تسمح لك بالكشف تلقائيًا عن البروتوكولات الأحدث والأكثر أمانًا والاستفادة منها عندما تصبح متوفرة مثل TLS 1.3.

للحصول على معلومات حول دعم TLS مع عامل Log Analytics لنظامي التشغيل Windows وLinux، وهو تبعية لدور Hybrid Runbook Worker، راجع نظرة عامة على عامل Log Analytics - TLS.

ترقية بروتوكول TLS للعاملين المختلطين ومكالمات Webhook

اعتبارا من 31 أكتوبر 2024، لن تتمكن جميع عقد دفتر التشغيل المختلط للمستخدم المستندة إلى العامل والمستندة إلى الامتداد وWebhooks وDSC باستخدام بروتوكولات أمان طبقة النقل (TLS) 1.0 و1.1 من الاتصال بأتمتة Azure. ستفشل جميع المهام التي تعمل أو مجدولة على Hybrid Workers باستخدام بروتوكولات TLS 1.0 و1.1.

تأكد من أن استدعاءات Webhook التي تشغل دفاتر التشغيل تنتقل على TLS 1.2 أو أعلى. تأكد من إجراء تغييرات السجل بحيث يتفاوض العاملون القائمون على الوكيل والملحق فقط على بروتوكولات TLS 1.2 والبروتوكولات الأعلى. تعرف على كيفية تعطيل بروتوكولات TLS 1.0/1.1 على Windows Hybrid Worker وتمكين TLS 1.2 أو إصدار أحدث على جهاز Windows.

بالنسبة إلى Linux Hybrid Workers، قم بتشغيل البرنامج النصي Python التالي للترقية إلى أحدث بروتوكول TLS.

import os

# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"

# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
    openssl_conf = f.read()

# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
    # Update the default TLS version to TLS 1.2
    openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")

    # Open the configuration file for writing and write the updated version
    with open(openssl_conf_path, "w") as f:
        f.write(openssl_conf)

    # Restart any services that use OpenSSL to ensure that the new settings are applied
    os.system("systemctl restart apache2")
    print("Default TLS version has been updated to TLS 1.2.")
else:
    # Add the default TLS version to the configuration file
    openssl_conf += """
    Options = PrioritizeChaCha,EnableMiddleboxCompat
    CipherString = DEFAULT@SECLEVEL:TLSv1.2
    MinProtocol = TLSv1.2
    """

    # Open the configuration file for writing and write the updated version
    with open(openssl_conf_path, "w") as f:
        f.write(openssl_conf)

    # Restart any services that use OpenSSL to ensure that the new settings are applied
    os.system("systemctl restart apache2")
    print("Default TLS version has been added as TLS 1.2.")

إرشادات خاصة بالنظام الأساسي

النظام الأساسي / اللغة يدعم المزيد من المعلومات
Linux تميل توزيعات Linux إلى الاعتماد على OpenSSL لدعم TLS 1.2. تحقق من OpenSSL Changelog للتأكد من دعم إصدار OpenSSL.
Windows 8.0 - 10 مدعوم ومُمَّكن بشكل افتراضي. للتأكد من أنك لا تزال تستخدم الإعدادات الافتراضية.
Windows Server 2012 - 2016 مدعوم ومُمَّكن بشكل افتراضي. للتأكد من أنك لا تزال تستخدم الإعدادات الافتراضية
Windows 7 SP1 وWindows Server 2008 R2 SP1 مدعوم، ولكن غير مُمَّكن بشكل افتراضي. راجع صفحة إعدادات تسجيل بروتوكول أمان طبقة النقل (TLS) للحصول على تفاصيل حول كيفية التمكين.

الاحتفاظ بالبيانات

عند حذف مورد في "التنفيذ التلقائي في Azure"، يتم الاحتفاظ به لعدة أيام لأغراض التدقيق قبل الإزالة الدائمة. لا يمكنك رؤية المورد أو استخدامه خلال هذا الوقت. ينطبق هذا النهج أيضًا على الموارد التي تنتمي إلى حساب التنفيذ التلقائي المحذوف. ينطبق نهج الاستبقاء على جميع المستخدمين ولا يمكن تخصيصه حاليًا. ومع ذلك، إذا كنت بحاجة إلى الاحتفاظ بالبيانات لفترة أطول، يمكنك إعادة توجيه بيانات مهمة التنفيذ التلقائي في Azure إلى سجلات Azure Monitor.

يلخص الجدول التالي نهج الاستبقاء للموارد المختلفة.

بيانات النهج
الحسابات تتم إزالة الحساب نهائيًا بعد 30 يومًا من حذف المستخدم له.
الأصول تتم إزالة الأصل نهائيًا بعد 30 يومًا من حذف المستخدم له، أو بعد 30 يومًا من حذف المستخدم للحساب الذي يحتفظ بالأصل. تتضمن الأصول المتغيرات والجداول وبيانات الاعتماد والشهادات وحزم Python 2 والاتصالات.
عُقد DSC تتم إزالة عقدة DSC نهائيًا بعد 30 يومًا من إلغاء تسجيله من حساب التنفيذ التلقائي باستخدام مدخل Azure أو cmdlet‏ Unregister-AzAutomationDscNode في Windows PowerShell. تتم إزالة عقدة أيضًا نهائيًا بعد 30 يومًا من حذف مستخدم الحساب الذي يحتوي على العقدة.
المهام يتم حذف مهمة وإزالتها نهائيًا بعد 30 يومًا من التعديل، على سبيل المثال، بعد اكتمال المهمة أو إيقافها أو تعليقها.
الوحدات النمطية تتم إزالة الوحدة النمطية نهائيًا بعد 30 يومًا من حذف المستخدم لها، أو بعد 30 يومًا من حذف المستخدم للحساب الذي يحتفظ بالوحدة النمطية.
ملفات MOF/تكوينات العقدة تتم إزالة تكوين عقدة قديمة نهائيًا بعد 30 يومًا من إنشاء تكوين عقدة جديدة.
تقارير العقدة تتم إزالة تقرير عقدة نهائيًا بعد 90 يومًا من إنشاء تقرير جديد لتلك العقدة.
كتب التشغيل تتم إزالة سجل التشغيل نهائيًا بعد 30 يومًا من حذف المستخدم للمورد، أو بعد 30 يومًا من حذف المستخدم للحساب الذي يحتفظ بالمورد1.

1يمكن استرداد سجل التشغيل في غضون الفترة البالغة 30 يومًا عن طريق تقديم حادث دعم Azure إلى دعم Microsoft Azure. انتقل إلى موقع دعم Azure، وحدد إرسال طلب الدعم.

النسخ الاحتياطي للبيانات

عند حذف حساب التنفيذ التلقائي في Azure، يتم حذف كافة الكائنات في الحساب. تتضمن الكائنات سجلات التشغيل والوحدات النمطية والتكوينات والإعدادات والمهام والأصول. يمكنك استرداد حساب التنفيذ التلقائي المحذوف في غضون 30 يوما. يمكنك أيضا استخدام المعلومات التالية لنسخ محتويات حساب التنفيذ التلقائي احتياطيا قبل حذفه:

كتب التشغيل

يمكنك تصدير سجلات التشغيل إلى ملفات البرامج النصية باستخدام إما مدخل Azure أو cmdlet‏ Get-AzureAutomationRunbookDefinition في Windows PowerShell. يمكنك استيراد ملفات البرامج النصية هذه إلى حساب تنفيذ تلقائي آخر، كما تمت مناقشته في إدارة سجلات التشغيل في التنفيذ التلقائي في Azure.

وحدات التكامل

لا يمكنك تصدير وحدات التكامل من التنفيذ التلقائي في Azure، حيث يجب توفيرها خارج حساب التنفيذ التلقائي.

الأصول

لا يمكنك تصدير أصول التنفيذ التلقائي في Azure: الشهادات والاتصالات وبيانات الاعتماد والجداول الزمنية والمتغيرات. بدلاً من ذلك، يمكنك استخدام مدخل Azure وAzure cmdlets لملاحظة تفاصيل هذه الأصول. ثم استخدام هذه التفاصيل لإنشاء أي أصول يتم استخدامها بواسطة سجلات التشغيل التي تقوم باستيرادها إلى حساب تنفيذ تلقائي آخر.

لا يمكنك استرداد قيم المتغيرات المشفرة أو حقول كلمات المرور الخاصة ببيانات الاعتماد باستخدام cmdlets. إذا كنت لا تعرف هذه القيم، يمكنك استردادها في سجل تشغيل. لاسترداد قيم متغيرة، راجع الأصول المتغيرة في التنفيذ التلقائي في Azure. لمعرفة المزيد حول استرداد قيم بيانات الاعتماد، راجع أصول بيانات الاعتماد في التنفيذ التلقائي في Azure.

تكوينات DSC

يمكنك تصدير تكوينات DSC إلى ملفات البرامج النصية باستخدام إما مدخل Azure أو cmdlet‏ Export-AzAutomationDscConfiguration في Windows PowerShell. يمكنك استيراد واستخدام هذه التكوينات في حساب تنفيذ تلقائي آخر.

موقع البيانات

يمكنك تحديد منطقة أثناء إنشاء حساب Azure Automation. يتم تخزين بيانات الخدمة مثل الأصول والتكوين والسجلات في تلك المنطقة وقد يتم نقلها أو معالجتها في مناطق أخرى داخل نفس المنطقة الجغرافية. نقاط النهاية العالمية هذه ضرورية لتزويد المستخدمين النهائيين بتجربة عالية الأداء وزمن انتقال منخفض بغض النظر عن الموقع. بالنسبة لمنطقة جنوب البرازيل (ولاية ساو باولو) من جغرافية البرازيل ومنطقة جنوب شرق آسيا (سنغافورة) ومنطقة شرق آسيا (هونغ كونغ) لجغرافية آسيا والمحيط الهادئ، نقوم بتخزين بيانات Azure Automation في نفس المنطقة لاستيعاب متطلبات موقع البيانات لهذه المناطق.

الخطوات التالية