Praktik terbaik keamanan di Azure Automation

  • Artikel

Penting

Akun Azure Automation Run as, termasuk Classic Run as telah dihentikan pada 30 September 2023 dan diganti dengan Identitas Terkelola. Anda tidak akan lagi dapat membuat atau memperbarui Jalankan sebagai akun melalui portal Azure. Untuk informasi selengkapnya, lihat bermigrasi dari akun Run As yang ada ke identitas terkelola.

Artikel ini merinci praktik terbaik untuk menjalankan pekerjaan otomatisasi dengan aman. Azure Automation memberi Anda platform untuk mengatur tugas manajemen infrastruktur dan operasional yang sering, memakan waktu, rawan kesalahan, serta operasi misi penting. Layanan ini memungkinkan Anda menjalankan skrip, yang dikenal sebagai runbook otomatisasi dengan mulus di seluruh lingkungan cloud dan hibrid.

Komponen platform Azure Automation Service secara aktif diamankan dan diperkeras. Layanan ini melalui pemeriksaan keamanan dan kepatuhan yang kuat. Tolok ukur keamanan cloud Microsoft merinci praktik dan rekomendasi terbaik untuk membantu meningkatkan keamanan beban kerja, data, dan layanan di Azure. Lihat juga garis besar keamanan Azure untuk Azure Automation.

Konfigurasi aman akun Automation

Bagian ini memandu Anda dalam mengonfigurasi akun Automation Anda dengan aman.

Izin

  1. Ikuti prinsip hak istimewa paling sedikit untuk menyelesaikan pekerjaan saat memberikan akses ke sumber daya Automation. Terapkan peran RBAC terperinci Automation dan hindari menetapkan peran atau cakupan yang lebih luas seperti tingkat langganan. Saat membuat peran kustom, hanya sertakan izin yang dibutuhkan pengguna. Dengan membatasi peran dan cakupan, Anda membatasi sumber daya yang berisiko jika prinsip keamanan pernah disusupi. Untuk informasi terperinci tentang konsep kontrol akses berbasis peran, lihat Praktik terbaik kontrol akses berbasis peran Azure.

  2. Hindari peran yang menyertakan Tindakan yang memiliki kartubebas (*) karena menyiratkan akses penuh ke sumber daya Automation atau sub-sumber daya, misalnya automationaccounts/*/read. Sebagai gantinya, gunakan tindakan tertentu hanya untuk izin yang diperlukan.

  3. Konfigurasikan akses berbasis Peran pada tingkat runbook jika pengguna tidak memerlukan akses ke semua runbook di akun Automation.

  4. Batasi jumlah peran yang sangat istimewa seperti Kontributor Automation untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi.

  5. Gunakan Microsoft Entra Privileged Identity Management untuk melindungi akun istimewa dari serangan cyber berbahaya untuk meningkatkan visibilitas Anda ke dalam penggunaannya melalui laporan dan pemberitahuan.

Mengamankan peran pekerja Hybrid Runbook

  1. Instal pekerja Hibrid menggunakan ekstensi VM Hybrid Runbook Worker, yang tidak memiliki dependensi apa pun pada agen Analitik Log. Kami merekomendasikan platform ini karena memanfaatkan autentikasi berbasis ID Microsoft Entra. Fitur Hybrid Runbook Worker dari Azure Automation memungkinkan Anda menjalankan runbook langsung pada mesin yang menghosting peran di mesin Azure atau non-Azure untuk menjalankan pekerjaan Automation di lingkungan lokal.

    • Gunakan hanya pengguna dengan hak istimewa tinggi atau peran kustom hybrid worker untuk pengguna yang bertanggung jawab untuk mengelola operasi seperti mendaftarkan atau membatalkan pendaftaran hybrid worker dan hybrid group dan menjalankan runbook terhadap grup hybrid runbook worker.
    • Pengguna yang sama juga akan memerlukan akses kontributor VM pada mesin yang menghosting peran Hybrid worker. Karena kontributor VM adalah peran hak istimewa tinggi, pastikan hanya sekumpulan pengguna yang tepat terbatas yang memiliki akses untuk mengelola pekerjaan Hybrid, sehingga mengurangi potensi pelanggaran oleh pemilik yang disusupi.

    Ikuti praktik terbaik Azure RBAC.

  2. Ikuti prinsip hak istimewa paling sedikit dan hanya berikan izin yang diperlukan kepada pengguna untuk eksekusi runbook terhadap pekerja Hibrid. Jangan berikan izin yang tidak dibatasi ke mesin yang menghosting peran pekerja runbook hibrid. Jika akses tidak dibatasi, pengguna dengan hak Kontributor VM atau memiliki izin untuk menjalankan perintah terhadap mesin pekerja hibrid dapat menggunakan sertifikat Jalankan Sebagai Akun Automation dari komputer hybrid worker dan berpotensi memungkinkan akses pengguna berbahaya sebagai kontributor langganan. Ini bisa membahayakan keamanan lingkungan Azure Anda. Gunakan peran kustom hybrid worker untuk pengguna yang bertanggung jawab untuk mengelola runbook Automation terhadap pekerja runbook Hibrid dan grup pekerja runbook Hibrid.

  3. Batalkan pendaftaran pekerja hibrid yang tidak digunakan atau tidak responsif.

Sertifikat dan identitas autentikasi

  1. Untuk autentikasi runbook, kami sarankan Anda menggunakan Identitas terkelola alih-alih akun Jalankan Sebagai. Akun Jalankan Sebagai adalah overhead administratif dan kami berencana untuk menghentikannya. Identitas terkelola dari MICROSOFT Entra ID memungkinkan runbook Anda untuk dengan mudah mengakses sumber daya yang dilindungi Microsoft Entra lainnya seperti Azure Key Vault. Identitas dikelola oleh platform Azure dan tidak mengharuskan Anda memprovisikan atau memutar rahasia. Untuk informasi selengkapnya tentang identitas terkelola di Azure Automation, lihat Identitas terkelola untuk Azure Automation

    Anda dapat mengautentikasi akun Automation menggunakan dua jenis identitas terkelola:

    • Identitas yang ditetapkan sistem terkait dengan aplikasi Anda dan dihapus jika aplikasi Anda dihapus. Aplikasi hanya dapat memiliki satu identitas yang ditetapkan sistem.
    • Identitas yang ditetapkan pengguna adalah sumber daya Azure mandiri yang dapat ditetapkan ke aplikasi Anda. Aplikasi dapat memiliki beberapa identitas yang ditetapkan pengguna.

    Ikuti rekomendasi praktik terbaik identitas terkelola untuk detail selengkapnya.

  2. Putar kunci Azure Automation secara berkala. Regenerasi kunci mencegah pendaftaran simpul DSC atau hybrid worker di masa mendatang menggunakan kunci sebelumnya. Sebaiknya gunakan pekerja hibrid berbasis Ekstensi yang menggunakan autentikasi Microsoft Entra alih-alih kunci Automation. MICROSOFT Entra ID mempusatkan kontrol dan manajemen identitas dan kredensial sumber daya.

Keamanan data

  1. Amankan aset di Azure Automation termasuk kredensial, sertifikat, koneksi, dan variabel terenkripsi. Aset ini dilindungi di Azure Automation menggunakan beberapa tingkat enkripsi. Secara default, data dienkripsi dengan kunci yang dikelola Microsoft. Untuk kontrol tambahan atas kunci enkripsi, Anda dapat menyediakan kunci yang dikelola pelanggan untuk digunakan untuk enkripsi aset Automation. Kunci ini harus ada di Azure Key Vault untuk layanan Automation agar dapat mengakses kunci. Lihat Enkripsi aset aman menggunakan kunci yang dikelola pelanggan.

  2. Jangan mencetak kredensial atau detail sertifikat apa pun dalam output pekerjaan. Operator pekerjaan Automation yang merupakan pengguna dengan hak istimewa rendah dapat melihat informasi sensitif.

  3. Pertahankan pencadangan konfigurasi Automation yang valid seperti runbook dan aset yang memastikan cadangan divalidasi dan dilindungi untuk menjaga kelangsungan bisnis setelah peristiwa yang tidak terduga.

Isolasi jaringan

  1. Gunakan Azure Private Link untuk menyambungkan pekerja runbook Hibrid dengan aman ke Azure Automation. Azure Private Endpoint adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan Azure Automation yang didukung oleh Azure Private Link. Titik Akhir Privat menggunakan alamat IP privat dari Virtual Network (VNet) Anda, untuk secara efektif membawa layanan Automation ke VNet Anda.

Jika Anda ingin mengakses dan mengelola layanan lain secara privat melalui runbook dari Azure VNet tanpa perlu membuka koneksi keluar ke internet, Anda dapat menjalankan runbook pada Hybrid Worker yang terhubung ke Azure VNet.

Kebijakan untuk Azure Automation

Tinjau rekomendasi Azure Policy untuk Azure Automation dan bertindak sebagaimana mewajibkan. Lihat Kebijakan Azure Automation.

Langkah berikutnya