Azure Automation-adatok kezelése
Ez a cikk számos témakört tartalmaz, amelyek bemutatják, hogyan védik és védik az adatokat egy Azure Automation-környezetben.
TLS az Azure Automationhez
Az Azure Automationbe átvitt adatok biztonsága érdekében határozottan javasoljuk, hogy konfigurálja a Transport Layer Security (TLS) használatát. Az alábbiakban felsoroljuk azokat a módszereket vagy ügyfeleket, amelyek HTTPS-en keresztül kommunikálnak az Automation szolgáltatással:
Webhook-hívások
Hibrid runbook-feldolgozók, amelyek magukban foglalják az Update Management és változáskövetés és leltározás által felügyelt gépeket.
DSC-csomópontok
A TLS/Secure Sockets Layer (SSL) régebbi verziói sebezhetőnek bizonyultak, és bár jelenleg is dolgoznak a visszamenőleges kompatibilitás érdekében, nem ajánlott. Nem javasoljuk, hogy explicit módon állítsa az ügynököt arra, hogy csak a TLS 1.2-t használja, kivéve, ha szükséges, mivel ez megszakíthatja a platformszintű biztonsági funkciókat, amelyek lehetővé teszik, hogy automatikusan észlelje és kihasználja az újabb, biztonságosabb protokollokat, például a TLS 1.3-at.
A Windows és Linux Log Analytics-ügynökének TLS-támogatásáról, amely a hibrid runbook-feldolgozó szerepkör függősége, tekintse meg a Log Analytics-ügynök áttekintését – TLS.
TLS-protokoll frissítése hibrid feldolgozókhoz és webhook-hívásokhoz
2024. október 31-től a Transport Layer Security (TLS) 1.0 és 1.1 protokollt használó összes ügynökalapú és bővítményalapú felhasználói hibrid runbook-feldolgozó, webhook és DSC-csomópont már nem tud csatlakozni az Azure Automationhez. A TLS 1.0 és 1.1 protokollt használó hibrid feldolgozókon futó vagy ütemezett összes feladat sikertelen lesz.
Győződjön meg arról, hogy a runbookokat aktiváló Webhook-hívások a TLS 1.2-s vagy újabb verziójában navigálnak. Győződjön meg arról, hogy a beállításjegyzék módosításait úgy hajtja végre, hogy az ügynök- és bővítményalapú dolgozók csak a TLS 1.2-s és a magasabb szintű protokollokon tárgyaljanak. Megtudhatja, hogyan tilthatja le a TLS 1.0/1.1 protokollokat a Windows hibrid feldolgozón, és hogyan engedélyezheti a TLS 1.2-t vagy újabb verziót Windows rendszerű gépeken.
Linux hibrid feldolgozók esetén futtassa az alábbi Python-szkriptet a legújabb TLS-protokollra való frissítéshez.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Platformspecifikus útmutató
| Platform/nyelv | Támogatás | További információ |
|---|---|---|
| Linux | A Linux-disztribúciók általában a TLS 1.2 OpenSSL-támogatására támaszkodnak. | Ellenőrizze az OpenSSL változásnaplóban , hogy az OpenSSL-verzió támogatott-e. |
| Windows 8.0 – 10 | Alapértelmezés szerint támogatott és engedélyezett. | Annak ellenőrzéséhez, hogy továbbra is az alapértelmezett beállításokat használja-e. |
| Windows Server 2012 – 2016 | Alapértelmezés szerint támogatott és engedélyezett. | Annak ellenőrzése, hogy továbbra is az alapértelmezett beállításokat használja-e |
| Windows Server 7 SP1 és Windows 2008 R2 SP1 | Támogatott, de alapértelmezés szerint nem engedélyezett. | Az engedélyezés módjáról további információt a Transport Layer Security (TLS) beállításjegyzék-beállításainak oldalán talál. |
Adatmegőrzés
Ha töröl egy erőforrást az Azure Automationben, az hosszú ideig megmarad naplózási célból, mielőtt véglegesen eltávolítanák. Ez idő alatt nem láthatja és nem használhatja az erőforrást. Ez a szabályzat a törölt Automation-fiókhoz tartozó erőforrásokra is vonatkozik. Az adatmegőrzési szabályzat az összes felhasználóra vonatkozik, és jelenleg nem szabható testre. Ha azonban hosszabb ideig kell megőriznie az adatokat, továbbíthatja az Azure Automation-feladatadatokat az Azure Monitor-naplókba.
Az alábbi táblázat a különböző erőforrások adatmegőrzési szabályzatát foglalja össze.
| Adatok | Szabályzat |
|---|---|
| Számlák | A rendszer 30 nappal azután távolít el véglegesen egy fiókot, hogy a felhasználó törli azt. |
| Eszközök | Az objektum véglegesen törlődik 30 nappal azután, hogy egy felhasználó törli azt, vagy 30 nappal azután, hogy egy felhasználó töröl egy olyan fiókot, amely az objektumot tartalmazza. Az eszközök változókat, ütemezéseket, hitelesítő adatokat, tanúsítványokat, Python 2-csomagokat és kapcsolatokat tartalmaznak. |
| DSC-csomópontok | A DSC-csomópontok véglegesen törlődnek 30 nappal azután, hogy az Azure Portalon vagy a Windows PowerShell Unregister-AzAutomationDscNode parancsmagján keresztül törölték a regisztrációt egy Automation-fiókból. A csomópontok végleges eltávolítása 30 nappal azután is megtörténik, hogy egy felhasználó törli a csomópontot tartalmazó fiókot. |
| Feladatok | A rendszer töröl egy feladatot, és 30 nappal a módosítás után véglegesen eltávolítja, például a feladat befejeződése után, leállítja vagy felfüggeszti. |
| Modulok | A modul véglegesen törlődik 30 nappal azután, hogy egy felhasználó törli azt, vagy 30 nappal azután, hogy egy felhasználó törli a modult tartalmazó fiókot. |
| Csomópontkonfigurációk/MOF-fájlok | A régi csomópontkonfiguráció 30 nappal az új csomópontkonfiguráció létrehozása után véglegesen törlődik. |
| Csomópontjelentések | A csomópontjelentések végleges eltávolítása 90 nappal azután történik, hogy új jelentés jön létre az adott csomóponthoz. |
| Runbookok | A runbookok véglegesen törlődnek 30 nappal azután, hogy egy felhasználó törli az erőforrást, vagy 30 nappal azután, hogy egy felhasználó törli az erőforrást tartalmazó fiókot. |
1A runbook a 30 napos ablakban helyreállítható egy Azure-támogatás incidens bejelentésével a Microsoft Azure ügyfélszolgálatán. Lépjen a Azure-támogatás webhelyre, és válassza a Támogatási kérelem elküldése lehetőséget.
Adatok biztonsági mentése
Amikor töröl egy Automation-fiókot az Azure-ban, a fiók összes objektuma törlődik. Az objektumok közé tartoznak a runbookok, modulok, konfigurációk, beállítások, feladatok és objektumok. A törölt Automation-fiókokat 30 napon belül helyreállíthatja. A törlés előtt az alábbi információk segítségével biztonsági másolatot készíthet az Automation-fiók tartalmáról:
Runbookok
A runbookokat szkriptfájlokba exportálhatja az Azure Portal vagy a Windows PowerShell Get-AzureAutomationRunbookDefinition parancsmagja használatával. Ezeket a szkriptfájlokat importálhatja egy másik Automation-fiókba, ahogyan azt az Azure Automation runbookjainak kezelése című cikk ismerteti.
Integrációs modulok
Az integrációs modulokat nem exportálhatja az Azure Automationből, ezeket elérhetővé kell tenni az Automation-fiókon kívül.
Eszközök
Az Azure Automation-objektumok nem exportálhatók: tanúsítványok, kapcsolatok, hitelesítő adatok, ütemezések és változók. Ehelyett az Azure Portal és az Azure-parancsmagok használatával jegyezheti fel az eszközök részleteit. Ezután ezeket a részleteket használva hozzon létre minden olyan objektumot, amelyet egy másik Automation-fiókba importált runbookok használnak.
Parancsmagok használatával nem kérheti le a titkosított változók vagy a hitelesítő adatok jelszómezőinek értékeit. Ha nem ismeri ezeket az értékeket, lekérheti őket egy runbookban. A változóértékek beolvasását az Azure Automation változóegységei című témakörben talál. A hitelesítő adatok beolvasásával kapcsolatos további információkért lásd : Hitelesítő adatok az Azure Automationben.
DSC-konfigurációk
A DSC-konfigurációkat szkriptfájlokba exportálhatja az Azure Portal vagy az Export-AzAutomationDscConfiguration parancsmag használatával a Windows PowerShellben. Ezeket a konfigurációkat importálhatja és használhatja egy másik Automation-fiókban.
Adattárolási hely
Az Azure Automation-fiók létrehozásakor meg kell adnia egy régiót. A szolgáltatásadatok, például az eszközök, a konfigurációk és a naplók ebben a régióban vannak tárolva, és átadhatók vagy feldolgozhatók ugyanazon a földrajzi régión belül más régiókban is. Ezek a globális végpontok azért szükségesek, hogy a végfelhasználók helytől függetlenül nagy teljesítményű, alacsony késésű élményt nyújtsanak. Az Azure Automation-adatokat ugyanabban a régióban tároljuk, hogy megfeleljen ezeknek a régióknak, csak a brazíliai földrajzi régió Dél-Brazília (Sao Paulo Állam), Délkelet-Ázsia régiója (Szingapúr) és a Csendes-óceáni térség (Hongkong) kelet-ázsiai régiója (Hongkong) esetében tároljuk az Azure Automation-adatokat ugyanabban a régióban.
Következő lépések
- A biztonsági irányelveket az Azure Automation biztonsági ajánlott eljárásaiban találhatja meg.
- Az Azure Automation biztonságos eszközeiről további információt az Azure Automation biztonságos eszközeinek titkosítása című témakörben talál.
- A georeplikációs szolgáltatással kapcsolatos további információkért lásd : Aktív georeplikációs szolgáltatás létrehozása és használata.