Správa dat služby Azure Automation
Tento článek obsahuje několik témat, která vysvětlují, jak jsou data chráněná a zabezpečená v prostředí Azure Automation.
TLS pro Azure Automation
Abychom zajistili zabezpečení přenášených dat do služby Azure Automation, důrazně doporučujeme nakonfigurovat použití protokolu TLS (Transport Layer Security). Následuje seznam metod nebo klientů, kteří komunikují přes PROTOKOL HTTPS se službou Automation:
Volání webhooku
Hybrid Runbook Worker, které zahrnují počítače spravované řešením Update Management a Sledování změn a inventář.
Uzly DSC
Ve starších verzích protokolu TLS/Secure Sockets Layer (SSL) se zjistilo, že jsou ohrožené a v současné době fungují tak, aby umožňovaly zpětnou kompatibilitu, nedoporučuje se. Nedoporučujeme explicitně nastavit agenta tak, aby používal pouze protokol TLS 1.2, pokud to není nutné, protože může narušit funkce zabezpečení na úrovni platformy, které vám umožní automaticky zjišťovat a využívat novější bezpečnější protokoly, jakmile budou k dispozici, například TLS 1.3.
Informace o podpoře protokolu TLS s agentem Log Analytics pro Windows a Linux, což je závislost pro roli Hybrid Runbook Worker, najdete v tématu Přehled agenta Log Analytics – TLS.
Upgrade protokolu TLS pro volání Hybrid Worker a Webhooku
Od 31. října 2024 už se nebudou moct všechny protokoly TLS (Transport Layer Security) 1.0 a 1.1 připojit k Azure Automation pomocí uzlů User Hybrid Runbook Worker, Webhooků a DSC založených na agentech a rozšířeních. Všechny úlohy spuštěné nebo naplánované v Hybrid Workeru využívající protokoly TLS 1.0 a 1.1 selžou.
Ujistěte se, že webhook volá, které aktivují runbooky, přecházet na tls 1.2 nebo vyšší. Ujistěte se, že provádíte změny registru, aby pracovní procesy založené na agentech a rozšířeních vyjednaly pouze protokoly TLS 1.2 a vyšší. Zjistěte, jak zakázat protokoly TLS 1.0/1.1 ve Windows Hybrid Worker a povolit protokol TLS 1.2 nebo novější na počítači s Windows.
V případě Linux Hybrid Worker spusťte následující skript Pythonu, který upgraduje na nejnovější protokol TLS.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Pokyny pro konkrétní platformu
| Platforma/jazyk | Technická podpora | Další informace |
|---|---|---|
| Linux | Linuxové distribuce se obvykle spoléhají na OpenSSL pro podporu protokolu TLS 1.2. | Zkontrolujte protokol změn OpenSSL a ověřte, že je podporovaná vaše verze OpenSSL. |
| Windows 8.0 – 10 | Podporováno a ve výchozím nastavení povoleno. | Abyste si ověřili, že stále používáte výchozí nastavení. |
| Windows Server 2012 – 2016 | Podporováno a ve výchozím nastavení povoleno. | Ověření, že stále používáte výchozí nastavení |
| Windows 7 SP1 a Windows Server 2008 R2 SP1 | Podporováno, ale ve výchozím nastavení není povoleno. | Podrobnosti o povolení najdete na stránce nastavení registru TLS (Transport Layer Security). |
Uchovávání dat
Když odstraníte prostředek ve službě Azure Automation, zachová se pro účely auditování po mnoho dní před trvalým odebráním. Během této doby nemůžete prostředek zobrazit ani použít. Tato zásada platí také pro prostředky, které patří do odstraněného účtu Automation. Zásady uchovávání informací platí pro všechny uživatele a v současné době není možné je přizpůsobit. Pokud ale potřebujete uchovávat data delší dobu, můžete data úloh Azure Automation předávat do protokolů služby Azure Monitor.
Následující tabulka shrnuje zásady uchovávání informací pro různé prostředky.
| Data | Zásady |
|---|---|
| Účty | Účet se trvale odebere 30 dní poté, co ho uživatel odstraní. |
| Materiály | Prostředek se trvale odebere 30 dní poté, co ho uživatel odstraní, nebo 30 dnů po odstranění účtu, který obsahuje asset. Prostředky zahrnují proměnné, plány, přihlašovací údaje, certifikáty, balíčky Pythonu 2 a připojení. |
| Uzly DSC | Uzel DSC se trvale odebere 30 dnů po zrušení registrace z účtu Automation pomocí webu Azure Portal nebo rutiny Unregister-AzAutomationDscNode ve Windows PowerShellu. Uzel se také trvale odebere 30 dní poté, co uživatel odstraní účet, který obsahuje uzel. |
| Úlohy | Úloha se odstraní a trvale odebere 30 dní po úpravě, například po dokončení úlohy, je zastavena nebo je pozastavena. |
| Moduly | Modul se trvale odebere 30 dní poté, co ho uživatel odstraní, nebo 30 dnů po odstranění účtu, který tento modul obsahuje. |
| Konfigurace uzlů / soubory MOF | Původní konfigurace uzlu se trvale odebere 30 dní po vygenerování nové konfigurace uzlu. |
| Sestavy uzlů | Sestava uzlu se trvale odebere 90 dní po vygenerování nové sestavy pro tento uzel. |
| Runbooky | Runbook se trvale odebere 30 dní poté, co uživatel odstraní prostředek, nebo 30 dnů po odstranění účtu, který obsahuje prostředek1. |
1Runbook je možné obnovit v rámci 30denního intervalu vyplněním podpora Azure incidentu s podporou Microsoft Azure. Přejděte na web podpora Azure a vyberte Odeslat žádost o podporu.
Zálohování dat
Když odstraníte účet Automation v Azure, odstraní se všechny objekty v účtu. Mezi objekty patří runbooky, moduly, konfigurace, nastavení, úlohy a prostředky. Odstraněný účet Automation můžete obnovit do 30 dnů. Před odstraněním účtu Automation můžete také zálohovat obsah účtu Automation pomocí následujících informací:
Runbooky
Runbooky můžete exportovat do souborů skriptů pomocí webu Azure Portal nebo rutiny Get-AzureAutomationRunbookDefinition ve Windows PowerShellu. Tyto soubory skriptů můžete importovat do jiného účtu Automation, jak je popsáno v tématu Správa runbooků ve službě Azure Automation.
Integrační moduly
Z Azure Automation nemůžete exportovat moduly integrace, které je potřeba zpřístupnit mimo účet Automation.
Materiály
Prostředky Azure Automation nejde exportovat: certifikáty, připojení, přihlašovací údaje, plány a proměnné. Místo toho můžete pomocí webu Azure Portal a rutin Azure poznamenat podrobnosti o těchto prostředcích. Tyto podrobnosti pak použijte k vytvoření všech prostředků, které používají runbooky, které importujete do jiného účtu Automation.
Pomocí rutin nemůžete načíst hodnoty pro šifrované proměnné ani pole hesel přihlašovacích údajů. Pokud tyto hodnoty neznáte, můžete je načíst v runbooku. Informace o načítání hodnot proměnných najdete v tématu Prostředky proměnných ve službě Azure Automation. Další informace o načítání hodnot přihlašovacích údajů najdete v tématu Prostředky přihlašovacích údajů ve službě Azure Automation.
Konfigurace DSC
Konfigurace DSC můžete exportovat do souborů skriptů pomocí webu Azure Portal nebo rutiny Export-AzAutomationDscConfiguration ve Windows PowerShellu. Tyto konfigurace můžete importovat a používat v jiném účtu Automation.
Umístění dat
Během vytváření účtu Azure Automation zadáte oblast. Data služby, jako jsou prostředky, konfigurace, protokoly, se ukládají v dané oblasti a můžou se přenášet nebo zpracovávat v jiných oblastech ve stejné zeměpisné oblasti. Tyto globální koncové body jsou nezbytné k tomu, aby koncovým uživatelům poskytovaly vysoce výkonné prostředí s nízkou latencí bez ohledu na umístění. Pouze pro oblast Brazílie – jih (Sao Paulo State), oblast Jihovýchodní Asie (Singapur) a oblast Východní Asie (Hongkong) zeměpisu Asie a Tichomoří ukládáme data Služby Azure Automation ve stejné oblasti, aby vyhovovala požadavkům na rezidenci dat pro tyto oblasti.
Další kroky
- Další informace o pokynech zabezpečení najdete v tématu Osvědčené postupy zabezpečení ve službě Azure Automation.
- Další informace o zabezpečených prostředcích ve službě Azure Automation najdete v tématu Šifrování zabezpečených prostředků ve službě Azure Automation.
- Další informace o geografické replikaci najdete v tématu Vytváření a používání aktivní geografické replikace.