أفضل ممارسات الأمان في Azure Automation

هام

تم إيقاف تشغيل Azure Automation كحسابات، بما في ذلك Classic Run كحسابات في 30 سبتمبر 2023 واستبدالها بالهويات المدارة. لن تتمكن بعد الآن من إنشاء حسابات Run as أو تجديدها من خلال مدخل Microsoft Azure. لمزيد من المعلومات، راجع الترحيل من حسابات Run As الموجودة إلى الهوية المدارة.

توضح هذه المقالة تفاصيل أفضل الممارسات لتنفيذ مهام الأتمتة بشكل آمن. يوفر لك Azure Automation النظام الأساسي لتنسيق مهام إدارة البنية الأساسية والمهام التشغيلية المتكررة والمستهلكة للوقت والمعرضة للخطأ، بالإضافة إلى العمليات الحرجة للمهام. تسمح لك هذه الخدمة بتنفيذ البرامج النصية، والمعروفة باسم دفاتر التشغيل التلقائي بسلاسة عبر البيئات السحابية والمختلطة.

يتم تأمين مكونات النظام الأساسي لخدمة Azure Automation وتصلبها بشكل نشط. تمر الخدمة بفحوصات أمان وتوافق قوية. يوضح معيار الأمان السحابي من Microsoft تفاصيل أفضل الممارسات والتوصيات للمساعدة في تحسين أمان أحمال العمل والبيانات والخدمات على Azure. راجع أيضا أساس أمان Azure ل Azure Automation.

التكوين الآمن لحساب التنفيذ التلقائي

يرشدك هذا القسم إلى تكوين حساب التنفيذ التلقائي بشكل آمن.

الأذونات

1. اتبع مبدأ الامتياز الأقل لإنجاز العمل عند منح حق الوصول إلى موارد التنفيذ التلقائي. تنفيذ أدوار التحكم في الوصول استنادا إلى الدور متعدد المستويات للأتمتة وتجنب تعيين أدوار أو نطاقات أوسع مثل مستوى الاشتراك. عند إنشاء الأدوار المخصصة، قم بتضمين الأذونات التي يحتاجها المستخدمون فقط. من خلال الحد من الأدوار والنطاقات، يمكنك تحديد الموارد المعرضة للخطر إذا تم اختراق أساس الأمان من أي وقت مضى. للحصول على معلومات مفصلة حول مفاهيم التحكم في الوصول المستندة إلى الدور، راجع أفضل ممارسات التحكم في الوصول المستندة إلى الدور في Azure.

2. تجنب الأدوار التي تتضمن الإجراءات التي تحتوي على حرف بدل (*) لأنها تعني الوصول الكامل إلى مورد التنفيذ التلقائي أو مورد فرعي، على سبيل المثال حسابات التشغيل التلقائي/*/القراءة. بدلا من ذلك، استخدم إجراءات محددة فقط للحصول على الإذن المطلوب.

3. تكوين الوصول المستند إلى الدور على مستوى دفتر التشغيل إذا كان المستخدم لا يتطلب الوصول إلى جميع دفاتر التشغيل في حساب التنفيذ التلقائي.

4. الحد من عدد الأدوار ذات الامتيازات العالية مثل Automation Contributor لتقليل احتمال حدوث خرق من قبل مالك مخترق.

5. استخدم إدارة الهويات المتميزة Microsoft Entra لحماية الحسابات المميزة من الهجمات الإلكترونية الضارة لزيادة وضوح استخدامك لها من خلال التقارير والتنبيهات.

تأمين دور عامل دفتر التشغيل المختلط

1. تثبيت العمال المختلطين باستخدام ملحق Hybrid Runbook Worker VM، الذي لا يحتوي على أي تبعية على عامل Log Analytics. نوصي بهذا النظام الأساسي لأنه يستفيد من المصادقة المستندة إلى معرف Microsoft Entra. تتيح لك ميزة Hybrid Runbook Worker في Azure Automation تنفيذ دفاتر التشغيل مباشرة على الجهاز الذي يستضيف الدور في جهاز Azure أو غير Azure لتنفيذ مهام التنفيذ التلقائي في البيئة المحلية.

   • استخدم فقط المستخدمين الامتيازات العالية أو الأدوار المخصصة للعامل المختلط للمستخدمين المسؤولين عن إدارة العمليات مثل تسجيل أو إلغاء تسجيل العمال المختلطين والمجموعات المختلطة وتنفيذ دفاتر التشغيل مقابل مجموعات عامل دفتر التشغيل المختلط.
   • سيحتاج المستخدم نفسه أيضا إلى وصول مساهم الجهاز الظاهري على الجهاز الذي يستضيف دور العامل المختلط. نظرا لأن مساهم الجهاز الظاهري هو دور امتياز عال، فتأكد من أن مجموعة حق محدودة فقط من المستخدمين لديهم حق الوصول لإدارة الأعمال المختلطة، وبالتالي تقليل إمكانية الخرق من قبل المالك المخترق.

   اتبع أفضل ممارسات Azure RBAC.

2. اتبع مبدأ الامتياز الأقل وامنح فقط الأذونات المطلوبة للمستخدمين لتنفيذ دفتر التشغيل مقابل عامل مختلط. لا توفر أذونات غير مقيدة للجهاز الذي يستضيف دور عامل دفتر التشغيل المختلط. في حالة الوصول غير المقيد، يمكن للمستخدم الذي لديه حقوق مساهم في الجهاز الظاهري أو لديه أذونات لتشغيل الأوامر مقابل جهاز العامل المختلط استخدام شهادة Automation Account Run As من جهاز العامل المختلط ويمكن أن يسمح بوصول مستخدم ضار كمساهم في الاشتراك. قد يعرض هذا أمان بيئة Azure للخطر. استخدم الأدوار المخصصة للعامل المختلط للمستخدمين المسؤولين عن إدارة دفاتر تشغيل التنفيذ التلقائي مقابل عمال دفتر التشغيل المختلط ومجموعات العاملين في دفتر التشغيل المختلط.

3. إلغاء تسجيل أي عمال مختلطين غير مستخدمين أو غير مستجيبين.

4. نوصي بشدة بعدم تكوين ملحق Hybrid Worker على جهاز ظاهري يستضيف وحدة التحكم بالمجال. لا تنصح أفضل ممارسات الأمان بمثل هذا الإعداد بسبب الطبيعة عالية المخاطر لكشف وحدات التحكم بالمجال لنواقل الهجوم المحتملة عبر وظائف Azure Automation. يجب أن تكون وحدات التحكم بالمجال آمنة للغاية ومعزولة عن الخدمات غير الأساسية لمنع الوصول غير المصرح به والحفاظ على سلامة بيئة خدمات مجال Active Directory (ADDS).

شهادة المصادقة والهويات

1. لمصادقة دفتر التشغيل، نوصي باستخدام الهويات المدارة بدلا من حسابات Run As. حسابات "تشغيل باسم" هي نفقات إدارية ونخطط لإهمالها. تسمح الهوية المدارة من معرف Microsoft Entra لدفتر التشغيل بالوصول بسهولة إلى موارد Microsoft Entra المحمية الأخرى مثل Azure Key Vault. تتم إدارة الهوية بواسطة النظام الأساسي Azure ولا يتطلب منك توفير أي أسرار أو تدويرها. لمزيد من المعلومات حول الهويات المدارة في Azure Automation، راجع الهويات المدارة ل Azure Automation

   يمكنك مصادقة حساب التنفيذ التلقائي باستخدام نوعين من الهويات المدارة:

   • ترتبط الهوية المعينة من قبل النظام بتطبيقك ويتم حذفها إذا تم حذف تطبيقك. يمكن أن يكون للتطبيق هوية واحدة معينة من قبل النظام.
   • الهوية المعينة من قبل المستخدم هي مورد Azure مستقل يمكن تعيينه لتطبيقك. يمكن أن يكون للتطبيق هويات متعددة مخصصة للمستخدم.

   اتبع توصيات أفضل ممارسات الهوية المدارة لمزيد من التفاصيل.

2. قم بتدوير مفاتيح Azure Automation بشكل دوري. يمنع إعادة إنشاء المفتاح تسجيلات عقدة عامل DSC المستقبلية أو المختلطة من استخدام المفاتيح السابقة. نوصي باستخدام العاملين المختلطين المستندين إلى الملحق الذين يستخدمون مصادقة Microsoft Entra بدلا من مفاتيح التنفيذ التلقائي. يقوم معرف Microsoft Entra بمركزية التحكم في الهويات وبيانات اعتماد الموارد وإدارتها.

أمان البيانات

1. تأمين الأصول في Azure Automation بما في ذلك بيانات الاعتماد والشهادات والاتصالات والمتغيرات المشفرة. تتمتع هذه الأصول بالحماية في Azure Automation باستخدام مستويات تشفير متعددة. بشكل افتراضي، يتم تشفير البيانات باستخدام المفاتيح المُدارة من قِبل Microsoft. للحصول على تحكم إضافي في مفاتيح التشفير، يمكنك توفير مفاتيح يديرها العميل لاستخدامها في تشفير أصول التنفيذ التلقائي. يجب أن تكون هذه المفاتيح موجودة في Azure Key Vault لخدمة التنفيذ التلقائي لتتمكن من الوصول إلى المفاتيح. راجع تشفير الأصول الآمنة باستخدام مفاتيح يديرها العميل.

2. لا تطبع أي بيانات اعتماد أو تفاصيل شهادة في إخراج الوظيفة. يمكن لمشغل وظيفة التنفيذ التلقائي الذي هو المستخدم ذو الامتياز المنخفض عرض المعلومات الحساسة.

3. الاحتفاظ بنسخة احتياطية صالحة من تكوين التنفيذ التلقائي مثل دفاتر التشغيل والأصول التي تضمن التحقق من صحة النسخ الاحتياطية وحمايتها للحفاظ على استمرارية الأعمال بعد حدث غير متوقع.

عزل الشبكة

1. استخدم Azure Private Link لتوصيل عمال دفتر التشغيل المختلط بأمان ب Azure Automation. Azure Private Endpoint هي واجهة شبكة تربطك بشكل خاص وآمن بخدمة Azure Automation التي يتم تشغيلها بواسطة Azure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP خاصا من الشبكة الظاهرية (VNet)، لجلب خدمة التنفيذ التلقائي بشكل فعال إلى الشبكة الظاهرية الخاصة بك.

إذا كنت ترغب في الوصول إلى الخدمات الأخرى وإدارتها بشكل خاص من خلال دفاتر التشغيل من Azure VNet دون الحاجة إلى فتح اتصال صادر بالإنترنت، يمكنك تنفيذ دفاتر التشغيل على Hybrid Worker المتصل بشبكة Azure الظاهرية.

نهج Azure Automation

راجع توصيات نهج Azure ل Azure Automation وتصرف حسب الاقتضاء. راجع نهج Azure Automation.

الخطوات التالية

• لمعرفة كيفية استخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC)، راجع إدارة أذونات الدور والأمان في Azure Automation.
• للحصول على معلومات حول كيفية حماية Azure لخصوصيتك وتأمين بياناتك، راجع أمان بيانات Azure Automation.
• للتعرف على تكوين حساب التنفيذ التلقائي لاستخدام التشفير، راجع تشفير الأصول الآمنة في Azure Automation.