Ajánlott biztonsági eljárások az Azure Automationben

  • Cikk

Fontos

2023. szeptember 30-án megszüntették az Azure Automation futtató fiókokat, beleértve a klasszikus futtató fiókokat is, és a felügyelt identitásokra cserélték. A továbbiakban nem hozhat létre vagy újíthat meg futtató fiókokat az Azure Portalon. For more information, see migrating from an existing Run As accounts to managed identity.

Ez a cikk az automatizálási feladatok biztonságos végrehajtásának ajánlott eljárásait ismerteti. Az Azure Automation biztosítja a platformot a gyakori, időigényes, hibalehetőségű infrastruktúra-kezelési és üzemeltetési feladatok, valamint a kritikus fontosságú műveletek vezényléséhez. Ez a szolgáltatás lehetővé teszi szkriptek, más néven automatizálási runbookok zökkenőmentes végrehajtását felhőbeli és hibrid környezetekben.

Az Azure Automation Service platformösszetevői aktívan védettek és edzettek. A szolgáltatás robusztus biztonsági és megfelelőségi ellenőrzéseken megy keresztül. A Microsoft felhőbiztonsági referenciamutatója ismerteti az ajánlott eljárásokat és javaslatokat, amelyek segítenek javítani a számítási feladatok, adatok és szolgáltatások biztonságát az Azure-ban. Tekintse meg az Azure Automation azure-ra vonatkozó biztonsági alapkonfigurációt is.

Automation-fiók biztonságos konfigurálása

Ez a szakasz ismerteti az Automation-fiók biztonságos konfigurálását.

Permissions

  1. Kövesse a minimális jogosultság elvét, hogy elvégezhesse a munkát az Automation-erőforrásokhoz való hozzáférés biztosításakor. Implementálja az Automation részletes RBAC-szerepköreit , és ne rendeljen hozzá szélesebb szerepköröket vagy hatóköröket, például előfizetési szintet. Az egyéni szerepkörök létrehozásakor csak a felhasználóknak szükséges engedélyeket kell tartalmaznia. A szerepkörök és hatókörök korlátozásával korlátozhatja azokat az erőforrásokat, amelyek veszélyben vannak, ha a rendszerbiztonsági tag biztonsága valaha is veszélybe kerül. A szerepköralapú hozzáférés-vezérlési fogalmakkal kapcsolatos részletes információkért tekintse meg az Azure szerepköralapú hozzáférés-vezérlés ajánlott eljárásait.

  2. Kerülje azokat a szerepköröket, amelyek olyan műveleteket tartalmaznak, amelyek helyettesítő karaktert (*) tartalmaznak, mivel ez az Automation-erőforráshoz vagy egy alerőforráshoz való teljes hozzáférést jelenti, például automationaccounts/*/read. Ehelyett csak a szükséges engedélyhez használjon konkrét műveleteket.

  3. Konfigurálja a szerepköralapú hozzáférést runbookszinten , ha a felhasználó nem igényel hozzáférést az Automation-fiók összes runbookjához.

  4. Korlátozza a magas jogosultsági szintű szerepkörök, például az Automation-közreműködők számát, hogy csökkentse a feltört tulajdonos sérülésének lehetőségét.

  5. A Microsoft Entra Privileged Identity Management használatával megvédheti a kiemelt fiókokat a rosszindulatú kibertámadásoktól, hogy a jelentések és riasztások révén nagyobb láthatóságot biztosítsunk a használatukhoz.

Hibrid runbook-feldolgozói szerepkör védelme

  1. Hibrid feldolgozók telepítése hibrid runbook-feldolgozó virtuálisgép-bővítmény használatával, amely nem függ a Log Analytics-ügynökétől. Ezt a platformot javasoljuk, mivel a Microsoft Entra ID-alapú hitelesítést használja. Az Azure Automation hibrid runbook-feldolgozó funkciója lehetővé teszi runbookok futtatását közvetlenül azon a gépen, amely az Azure-beli vagy nem Azure-beli gépet üzemelteti az Automation-feladatok helyi környezetben való végrehajtásához.

    • Csak magas jogosultsági szintű felhasználókat vagy hibrid feldolgozói egyéni szerepköröket használjon a műveletek kezeléséért felelős felhasználók számára, például a hibrid feldolgozók és hibrid csoportok regisztrációjának vagy törlésének, valamint a runbookok hibrid runbook-feldolgozó csoportokon történő végrehajtásának.
    • Ugyanez a felhasználó virtuálisgép-közreműködői hozzáférést is igényelne a hibrid feldolgozói szerepkört üzemeltető gépen. Mivel a virtuális gép közreműködője magas jogosultsági szintű szerepkör, győződjön meg arról, hogy csak korlátozott jogosultságokkal rendelkező felhasználók férhetnek hozzá a hibrid művek kezeléséhez, ezáltal csökkentve a sérült tulajdonos általi illetéktelen behatolás lehetőségét.

    Kövesse az Azure RBAC ajánlott eljárásait.

  2. Kövesse a minimális jogosultság elvét, és csak a szükséges engedélyeket adja meg a felhasználóknak a runbookok hibrid feldolgozóval történő végrehajtásához. Ne adjon korlátlan engedélyeket a hibrid runbook-feldolgozói szerepkört üzemeltető gépnek. Korlátlan hozzáférés esetén a virtuálisgép-közreműködői jogosultsággal rendelkező vagy a parancsok hibrid feldolgozó gépre való futtatására jogosult felhasználók használhatják a hibrid feldolgozó gép Automation-fiók futtató tanúsítványát, és potenciálisan rosszindulatú felhasználói hozzáférést tehetnek lehetővé előfizetés-közreműködőként. Ez veszélyeztetheti az Azure-környezet biztonságát. Hibrid feldolgozó egyéni szerepkörök használata a felelős felhasználók számára az Automation-runbookok hibrid runbook-feldolgozók és hibrid runbook-feldolgozócsoportok elleni felügyeletéhez.

  3. Törölje a nem használt vagy nem rugalmas hibrid feldolgozók regisztrációja törlését.

Hitelesítési tanúsítvány és identitások

  1. Runbook-hitelesítéshez azt javasoljuk, hogy futtató fiókok helyett felügyelt identitásokat használjon. A futtató fiókok rendszergazdai többletterhelést jelentenek, és azt tervezzük, hogy megszüntetjük őket. A Microsoft Entra-azonosítóból származó felügyelt identitás lehetővé teszi a runbook számára, hogy könnyen hozzáférjen más, Microsoft Entra által védett erőforrásokhoz, például az Azure Key Vaulthoz. Az identitás kezelését az Azure-platform végzi, és nem szükséges hozzá semmilyen titkos kulcs kiosztása vagy rotálása. Az Azure Automation felügyelt identitásairól további információt az Azure Automation felügyelt identitásai című témakörben talál .

    Az Automation-fiókokat kétféle felügyelt identitással hitelesítheti:

    • A rendszer által hozzárendelt identitás az alkalmazáshoz van kötve, és az alkalmazás törlésekor törlődik. Egy alkalmazás csak egy rendszer által hozzárendelt identitással rendelkezhet.
    • A felhasználó által hozzárendelt identitás egy önálló Azure-erőforrás, amely hozzárendelhető az alkalmazáshoz. Egy alkalmazás több felhasználó által hozzárendelt identitással is rendelkezhet.

    További részletekért kövesse a felügyelt identitásokkal kapcsolatos ajánlott eljárásokkal kapcsolatos javaslatokat.

  2. Az Azure Automation-kulcsokat rendszeresen forgassa el. A kulcs újragenerálása megakadályozza, hogy a jövőbeli DSC- vagy hibrid feldolgozó csomópontregisztrációk a korábbi kulcsokat használják. Javasoljuk, hogy az Automation-kulcsok helyett a Microsoft Entra-hitelesítést használó bővítményalapú hibrid feldolgozókat használja. A Microsoft Entra ID központosítja az identitások és az erőforrás-hitelesítő adatok ellenőrzését és kezelését.

Adatbiztonság

  1. Az Azure Automation eszközeinek védelme, beleértve a hitelesítő adatokat, a tanúsítványokat, a kapcsolatokat és a titkosított változókat. Ezeket az eszközöket az Azure Automation több titkosítási szinttel védi. Alapértelmezés szerint az adatok a Microsoft által felügyelt kulcsokkal lesznek titkosítva. A titkosítási kulcsok további szabályozásához megadhat ügyfél által felügyelt kulcsokat az Automation-eszközök titkosításához. Ezeknek a kulcsoknak jelen kell lenniük az Azure Key Vault for Automation szolgáltatásban, hogy hozzáférhessenek a kulcsokhoz. Lásd : Biztonságos eszközök titkosítása ügyfél által felügyelt kulcsokkal.

  2. A feladat kimenetében ne nyomtassa ki a hitelesítő adatokat vagy a tanúsítvány részleteit. Az automation-feladat operátora, aki az alacsony jogosultságú felhasználó, megtekintheti a bizalmas információkat.

  3. Őrizze meg az Automation-konfiguráció érvényes biztonsági mentését, például runbookokat és eszközöket, amelyek biztosítják a biztonsági másolatok érvényesítését és védelmét, hogy egy váratlan esemény után is megőrizze az üzletmenet folytonosságát.

Hálózatelkülönítés

  1. Az Azure Private Link használatával biztonságosan csatlakoztathatja a hibrid runbook-feldolgozókat az Azure Automationhez. Az Azure Private Endpoint egy olyan hálózati adapter, amely privátan és biztonságosan csatlakozik egy Azure Automation-szolgáltatáshoz, amelyet az Azure Private Link működtet. A privát végpont a virtuális hálózat (VNet) magánhálózati IP-címét használja az Automation szolgáltatás virtuális hálózatba való hatékony behozásához.

Ha más szolgáltatásokat privát módon szeretne elérni és felügyelni az Azure-beli virtuális hálózatról származó runbookokkal anélkül, hogy kimenő internetkapcsolatot kellene nyitnia, futtathat runbookokat az Azure-beli virtuális hálózathoz csatlakoztatott hibrid feldolgozón.

Szabályzatok az Azure Automationhez

Tekintse át az Azure Automationre vonatkozó Azure Policy-javaslatokat, és megfelelően jár el. Lásd: Azure Automation-szabályzatok.

Következő lépések

  • Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatának megismeréséhez tekintse meg a szerepkör-engedélyek és a biztonság kezelése az Azure Automationben című témakört.
  • Az Azure adatvédelemmel és az adatok védelmének biztosításával kapcsolatos információkért tekintse meg az Azure Automation adatbiztonságát.
  • Az Automation-fiók titkosításra való konfigurálásáról további információt az Azure Automation biztonságos eszközeinek titkosítása című témakörben talál.