Sdílet prostřednictvím


Správa dat služby Azure Automation

Tento článek obsahuje několik témat, která vysvětlují, jak jsou data chráněná a zabezpečená v prostředí Azure Automation.

TLS pro Azure Automation

Abychom zajistili zabezpečení přenášených dat do služby Azure Automation, důrazně doporučujeme nakonfigurovat použití protokolu TLS (Transport Layer Security). Následuje seznam metod nebo klientů, kteří komunikují přes PROTOKOL HTTPS se službou Automation:

  • Volání webhooku

  • User Hybrid Runbook Worker (založené na rozšířeních a agentech)

  • Počítače spravované správou aktualizací Azure Automation a službou Azure Automation Change Tracking a inventářem

  • Uzly Azure Automation DSC

Ve starších verzích protokolu TLS/Secure Sockets Layer (SSL) se zjistilo, že jsou ohrožené a v současné době fungují tak, aby umožňovaly zpětnou kompatibilitu, nedoporučuje se. Nedoporučujeme explicitně nastavit agenta tak, aby používal pouze protokol TLS 1.2, pokud to není nutné, protože může narušit funkce zabezpečení na úrovni platformy, které vám umožní automaticky zjišťovat a využívat novější bezpečnější protokoly, jakmile budou k dispozici, například TLS 1.3.

Informace o podpoře protokolu TLS s agentem Log Analytics pro Windows a Linux, což je závislost pro roli Hybrid Runbook Worker, najdete v tématu Přehled agenta Log Analytics – TLS.

Upgrade protokolu TLS pro volání Hybrid Worker a Webhooku

Od 31. října 2024 se už všechny protokoly TLS (Transport Layer Security) 1.0 a 1.1 pomocí protokolů TLS (Transport Layer Security) 1.0 a 1.1 už nebudou moct připojit ke službě Azure Automation. Všechny úlohy spuštěné nebo naplánované v Hybrid Workeru využívající protokoly TLS 1.0 a 1.1 selžou.

Ujistěte se, že webhook volá, které aktivují runbooky, přecházet na tls 1.2 nebo vyšší. Zjistěte, jak zakázat protokoly TLS 1.0/1.1 ve Windows Hybrid Worker a povolit protokol TLS 1.2 nebo novější na počítači s Windows.

V případě Linux Hybrid Worker spusťte následující skript Pythonu, který upgraduje na nejnovější protokol TLS.

import os

# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"

# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
    openssl_conf = f.read()

# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
    # Update the default TLS version to TLS 1.2
    openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")

    # Open the configuration file for writing and write the updated version
    with open(openssl_conf_path, "w") as f:
        f.write(openssl_conf)

    # Restart any services that use OpenSSL to ensure that the new settings are applied
    os.system("systemctl restart apache2")
    print("Default TLS version has been updated to TLS 1.2.")
else:
    # Add the default TLS version to the configuration file
    openssl_conf += """
    Options = PrioritizeChaCha,EnableMiddleboxCompat
    CipherString = DEFAULT@SECLEVEL:TLSv1.2
    MinProtocol = TLSv1.2
    """

    # Open the configuration file for writing and write the updated version
    with open(openssl_conf_path, "w") as f:
        f.write(openssl_conf)

    # Restart any services that use OpenSSL to ensure that the new settings are applied
    os.system("systemctl restart apache2")
    print("Default TLS version has been added as TLS 1.2.")

Pokyny pro konkrétní platformu

Platforma/jazyk Technická podpora Další informace
Linux Linuxové distribuce se obvykle spoléhají na OpenSSL pro podporu protokolu TLS 1.2. Zkontrolujte protokol změn OpenSSL a ověřte, že je podporovaná vaše verze OpenSSL.
Windows 8.0 – 10 Podporováno a ve výchozím nastavení povoleno. Abyste si ověřili, že stále používáte výchozí nastavení.
Windows Server 2012 – 2016 Podporováno a ve výchozím nastavení povoleno. Ověření, že stále používáte výchozí nastavení
Windows 7 SP1 a Windows Server 2008 R2 SP1 Podporováno, ale ve výchozím nastavení není povoleno. Podrobnosti o povolení najdete na stránce nastavení registru TLS (Transport Layer Security).

Uchovávání dat

Když odstraníte prostředek ve službě Azure Automation, zachová se pro účely auditování po mnoho dní před trvalým odebráním. Během této doby nemůžete prostředek zobrazit ani použít. Tato zásada platí také pro prostředky, které patří do odstraněného účtu Automation. Zásady uchovávání informací platí pro všechny uživatele a v současné době není možné je přizpůsobit. Pokud ale potřebujete uchovávat data delší dobu, můžete data úloh Azure Automation předávat do protokolů služby Azure Monitor.

Následující tabulka shrnuje zásady uchovávání informací pro různé prostředky.

Data Zásady
Účty Účet se trvale odebere 30 dní poté, co ho uživatel odstraní.
Materiály Prostředek se trvale odebere 30 dní poté, co ho uživatel odstraní, nebo 30 dnů po odstranění účtu, který obsahuje asset. Prostředky zahrnují proměnné, plány, přihlašovací údaje, certifikáty, balíčky Pythonu 2 a připojení.
Uzly DSC Uzel DSC se trvale odebere 30 dnů po zrušení registrace z účtu Automation pomocí webu Azure Portal nebo rutiny Unregister-AzAutomationDscNode ve Windows PowerShellu. Uzel se také trvale odebere 30 dní poté, co uživatel odstraní účet, který obsahuje uzel.
Úlohy Úloha se odstraní a trvale odebere 30 dní po úpravě, například po dokončení úlohy, je zastavena nebo je pozastavena.
Moduly Modul se trvale odebere 30 dní poté, co ho uživatel odstraní, nebo 30 dnů po odstranění účtu, který tento modul obsahuje.
Konfigurace uzlů / soubory MOF Původní konfigurace uzlu se trvale odebere 30 dní po vygenerování nové konfigurace uzlu.
Sestavy uzlů Sestava uzlu se trvale odebere 90 dní po vygenerování nové sestavy pro tento uzel.
Runbooky Runbook se trvale odebere 30 dní poté, co uživatel odstraní prostředek, nebo 30 dnů po odstranění účtu, který obsahuje prostředek1.

1Runbook je možné obnovit v rámci 30denního intervalu vyplněním podpora Azure incidentu s podporou Microsoft Azure. Přejděte na web podpora Azure a vyberte Odeslat žádost o podporu.

Zálohování dat

Když odstraníte účet Automation v Azure, odstraní se všechny objekty v účtu. Mezi objekty patří runbooky, moduly, konfigurace, nastavení, úlohy a prostředky. Odstraněný účet Automation můžete obnovit do 30 dnů. Před odstraněním účtu Automation můžete také zálohovat obsah účtu Automation pomocí následujících informací:

Runbooky

Runbooky můžete exportovat do souborů skriptů pomocí webu Azure Portal nebo rutiny Get-AzureAutomationRunbookDefinition ve Windows PowerShellu. Tyto soubory skriptů můžete importovat do jiného účtu Automation, jak je popsáno v tématu Správa runbooků ve službě Azure Automation.

Integrační moduly

Z Azure Automation nemůžete exportovat moduly integrace, které je potřeba zpřístupnit mimo účet Automation.

Materiály

Prostředky Azure Automation nejde exportovat: certifikáty, připojení, přihlašovací údaje, plány a proměnné. Místo toho můžete pomocí webu Azure Portal a rutin Azure poznamenat podrobnosti o těchto prostředcích. Tyto podrobnosti pak použijte k vytvoření všech prostředků, které používají runbooky, které importujete do jiného účtu Automation.

Pomocí rutin nemůžete načíst hodnoty pro šifrované proměnné ani pole hesel přihlašovacích údajů. Pokud tyto hodnoty neznáte, můžete je načíst v runbooku. Informace o načítání hodnot proměnných najdete v tématu Prostředky proměnných ve službě Azure Automation. Další informace o načítání hodnot přihlašovacích údajů najdete v tématu Prostředky přihlašovacích údajů ve službě Azure Automation.

Konfigurace DSC

Konfigurace DSC můžete exportovat do souborů skriptů pomocí webu Azure Portal nebo rutiny Export-AzAutomationDscConfiguration ve Windows PowerShellu. Tyto konfigurace můžete importovat a používat v jiném účtu Automation.

Umístění dat

Během vytváření účtu Azure Automation zadáte oblast. Data služby, jako jsou prostředky, konfigurace, protokoly, se ukládají v dané oblasti a můžou se přenášet nebo zpracovávat v jiných oblastech ve stejné zeměpisné oblasti. Tyto globální koncové body jsou nezbytné k tomu, aby koncovým uživatelům poskytovaly vysoce výkonné prostředí s nízkou latencí bez ohledu na umístění. Pouze pro oblast Brazílie – jih (Sao Paulo State), oblast Jihovýchodní Asie (Singapur) a oblast Východní Asie (Hongkong) zeměpisu Asie a Tichomoří ukládáme data Služby Azure Automation ve stejné oblasti, aby vyhovovala požadavkům na rezidenci dat pro tyto oblasti.

Další kroky