Standardní hodnoty zabezpečení Azure pro službu Automation
Tyto standardní hodnoty zabezpečení aplikují na službu Automation pokyny z srovnávacího testu cloudového zabezpečení microsoftu verze 1.0 . Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro službu Automation.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na službu Automation, byly vyloučeny. Pokud chcete zjistit, jak se služba Automation kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, projděte si úplný soubor mapování standardních hodnot zabezpečení služby Automation.
Profil zabezpečení
Profil zabezpečení shrnuje chování automatizace s vysokým dopadem, které může mít za následek zvýšené aspekty zabezpečení.
| Atribut Chování služby | Hodnota |
|---|---|
| Kategorie produktu | MGMT/ zásady správného řízení |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Přiřaďte prostředku privátní IP adresy (pokud je to možné). Jedná se o doporučenou konfiguraci z hlediska zabezpečení; To ale vyžaduje, abyste nakonfigurovali funkci Hybrid Runbook Worker připojenou k virtuální síti Azure, & v současné době nepodporuje cloudové úlohy.
Referenční informace: Bezpečné připojení sítí k Azure Automation pomocí Azure Private Link
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Referenční informace: Bezpečné připojení sítí k Azure Automation pomocí Azure Private Link
Zakázání přístupu z veřejné sítě
Popis: Služba podporuje zakázání veřejného síťového přístupu buď pomocí pravidla filtrování seznamu ACL protokolu IP na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat veřejný síťový přístup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: služba Azure Automation podporuje zakázání veřejného síťového přístupu buď prostřednictvím integrovaného Azure Policy, nebo můžete použít také rutinu PowerShellu – Nastavení příznaků veřejného síťového přístupu
Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí rutiny PowerShellu nebo přepínače pro veřejný síťový přístup.
Referenční informace: Účty Automation by měly zakázat veřejný síťový přístup
Správa identit
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Funkce Hybrid Runbook Worker pro uživatele založená na rozšíření (v2) Azure Automation používá ke spouštění runbooků přímo na počítači Azure nebo mimo Azure prostřednictvím serverů zaregistrovaných na serverech s podporou služby Azure Arc Azure AD ověřování.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Přehled ověřování účtu Azure Automation
Metody místního ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Služba Azure Automation podporuje místní metodu ověřování založenou na certifikátech pro přístup k rovině dat prostřednictvím windows založeného na agentovi (v1) nebo procesu Hybrid Runbook Worker pro Linux, ale tento přístup k onboardingu hybridních pracovních procesů se nedoporučuje. Jako doporučený přístup použijte metodu instalace hybridního pracovního procesu runbooku na základě rozšíření (v2). Vyhněte se používání místních metod ověřování nebo účtů. Všude, kde je to možné, by se měly zakázat. Místo toho k ověření použijte Azure AD, kde je to možné.
Pokyny ke konfiguraci: Omezte použití místních metod ověřování pro přístup k rovině dat. Místo toho jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Zakázání místního ověřování ve službě Automation
Referenční informace: Nasazení procesu Windows Hybrid Runbook Worker založeného na agentovi ve službě Automation
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Systémová spravovaná identita se ve výchozím nastavení vytvoří, pokud je účet vytvořený přes portál, ale ne ve výchozím nastavení, pokud se účet vytváří prostřednictvím rozhraní API nebo rutiny. Dá se povolit i po vytvoření účtu.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Spravované identity
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Podpora integrace a úložiště přihlašovacích údajů a tajných kódů služby v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Zabezpečené prostředky v Azure Automation zahrnují přihlašovací údaje, certifikáty, připojení a šifrované proměnné. Tyto prostředky se šifrují a ukládají ve službě Automation pomocí jedinečného klíče, který se vygeneruje pro každý účet Automation. Služba Automation ukládá klíč ve službě Key Vault spravované systémem. Před uložením zabezpečeného prostředku služba Automation načte klíč z Key Vault a pak ho použije k zašifrování prostředku.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Správa přihlašovacích údajů v Azure Automation
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Automatizace se integruje s Azure RBAC za účelem správy svých prostředků. Pomocí RBAC spravujete přístup k prostředkům Azure prostřednictvím přiřazení rolí. Role můžete přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám. Některé prostředky mají předdefinované předdefinované role. Tyto role můžete inventarizaci nebo dotazování provést prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Správa oprávnění rolí a zabezpečení v Azure Automation
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Lockbox není implementovaný pro Azure Automation , místo toho služba Azure Automation před uložením do databáze SQL šifruje skript runbooku a konfiguraci DSC pomocí klíčů spravovaných zákazníkem. Tím se prostředky automatizace zašifrují.
/en-us/azure/automation/whats-new-archive#added-capability-to-keep-automation-runbooks-and-dsc-scripts-encrypted-by-default
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Ochrana dat
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.
DP-3: Šifrování přenášených citlivých dat
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: TLS 1.2 pro Azure Automation
DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.
Funkce
Šifrování dat v klidovém stavu pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Zabezpečení prostředků v Azure Automation zahrnuje přihlašovací údaje, certifikáty, připojení a šifrované proměnné. Tyto prostředky jsou chráněny v Azure Automation pomocí několika úrovní šifrování. Ve výchozím nastavení používá váš účet Azure Automation klíče spravované Microsoftem.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Klíče spravované Microsoftem
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Automation:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Proměnné účtu Automation by měly být šifrované. | Při ukládání citlivých dat je důležité povolit šifrování prostředků proměnných účtu Automation. | Auditovat, Odepřít, Zakázáno | 1.1.0 |
DP-5: Použití klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční informace: Šifrování zabezpečených prostředků v Azure Automation
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Azure Automation nepodporuje nativní integraci s Key Vault pro ukládání vlastních tajných kódů používaných jejich runbooky Automation, ale mají přístup k Key Vault pomocí rutin Key Vault z kódu runbooku Automation.
Pokyny ke konfiguraci: Azure Key Vault použijte k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměna a odvolávání klíčů v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případě klíčového vyřazení nebo ohrožení zabezpečení. Pokud potřebujete použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že postupujete podle osvědčených postupů pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve svém trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud do služby potřebujete přenést vlastní klíč (BYOK) (například importovat klíče chráněné HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte počáteční vygenerování a přenos klíče.
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny zákaznické certifikáty. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Zabezpečení prostředků v Azure Automation zahrnuje přihlašovací údaje, certifikáty, připojení a šifrované proměnné. Tyto prostředky se šifrují a ukládají ve službě Automation pomocí jedinečného klíče, který se vygeneruje pro každý účet Automation. Služba Automation ukládá klíč ve službě Key Vault spravované systémem. Před uložením zabezpečeného prostředku služba Automation načte klíč z Key Vault a pak ho použije k zašifrování prostředku.
Pokyny ke konfiguraci: Azure Key Vault použijte k vytvoření a řízení životního cyklu certifikátu, včetně jeho vytvoření, importu, obměně, odvolání, ukládání a mazání certifikátu. Ujistěte se, že generování certifikátů odpovídá definovaným standardům bez použití nezabezpečených vlastností, jako jsou: nedostatečná velikost klíče, příliš dlouhá doba platnosti, nezabezpečená kryptografie. Nastavte automatickou obměnu certifikátu v Azure Key Vault a ve službě Azure (pokud se podporuje) na základě definovaného plánu nebo v případě vypršení platnosti certifikátu. Pokud aplikace nepodporuje automatickou rotaci, ujistěte se, že se ve službě Azure Key Vault a v aplikaci stále obměňují pomocí ručních metod.
Referenční informace: Správa certifikátů v Azure Automation
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Azure Policy předdefinované definice pro Azure Automation
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení funkcí detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Azure Automation můžou odesílat stav úlohy runbooku a streamy úloh do pracovního prostoru služby Log Analytics. Protokoly úloh a streamy úloh se zobrazují v Azure Portal nebo v PowerShellu pro jednotlivé úlohy.
Pokyny ke konfiguraci: Povolte pro službu protokoly prostředků. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku. Azure Automation můžete do pracovního prostoru služby Log Analytics odesílat stav úlohy runbooku a streamy úloh. Protokoly úloh a streamy úloh se zobrazují v Azure Portal nebo v PowerShellu pro jednotlivé úlohy.
Referenční informace: Předávání diagnostických protokolů Azure Automation službě Azure Monitor
Backup a obnovení
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelného automatizovaného zálohování
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: zálohování Azure Automation prostřednictvím Azure Backup se nepodporuje. Je vaší zodpovědností udržovat platnou zálohu konfigurace služby Automation, jako jsou runbooky a prostředky.
Azure Resource Manager můžete použít k nasazení účtů Automation a souvisejících prostředků. Šablony Azure Resource Manager můžete exportovat a použít jako zálohy k obnovení účtů Automation a souvisejících prostředků. Pomocí služby Automation můžete pravidelně volat rozhraní API pro export šablon Azure Resource Manager.
Pro konfiguraci této funkce postupujte podle pokynů (Automation Data Backup) [/azure/automation/automation-managing-data#data-backup]. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat. Můžete také využít pokyny k nastavení (zotavení po havárii)[/azure/automation/automation-disaster-recovery?tabs=win-hrw%2Cps-script%2Coption-one] pro účty Automation.
Pomocí funkce integrace správy zdrojového kódu můžete také udržovat runbooky v účtu Automation aktuální pomocí skriptů v úložišti správy zdrojového kódu.
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Azure Automation neposkytuje nativní mechanismus zálohování. Je vaší zodpovědností udržovat platnou zálohu konfigurace služby Automation, jako jsou runbooky a prostředky.
Azure Resource Manager můžete použít k nasazení účtů Automation a souvisejících prostředků. Šablony Azure Resource Manager můžete exportovat a použít jako zálohy k obnovení účtů Automation a souvisejících prostředků. Pomocí služby Automation můžete pravidelně volat rozhraní API pro export šablon Azure Resource Manager.
Pomocí funkce integrace správy zdrojového kódu můžete také udržovat runbooky v účtu Automation aktuální pomocí skriptů v úložišti správy zdrojového kódu.
Zálohování dat služby Automation
Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat. Můžete také využít pokyny k nastavení zotavení po havárii pro účty Automation.
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure