Manajemen data Azure Automation
Artikel ini berisi beberapa topik yang menjelaskan bagaimana data dilindungi dan diamankan di lingkungan Azure Automation.
TLS untuk Azure Automation
Untuk memastikan keamanan data saat transit ke Azure Automation, kami sangat mendorong Anda untuk mengonfigurasi penggunaan Keamanan Lapisan Transportasi (TLS). Berikut ini adalah daftar metode atau klien yang berkomunikasi melalui HTTPS ke layanan Automation:
Panggilan Webhook
Hybrid Runbook Workers, yang mencakup komputer yang dikelola oleh Manajemen Pembaruan serta Pelacakan Perubahan dan Inventaris.
Simpul DSC
Versi TLS/Keamanan Lapisan Transportasi (SSL) yang lebih lama diketahui rentan dan meskipun saat ini masih berfungsi untuk memungkinkan kompatibilitas mundur, versi tersebut tidak disarankan. Sebaiknya secara eksplisit jangan mengatur agen Anda untuk hanya menggunakan TLS 1.2 kecuali jika diperlukan, karena dapat merusak fitur keamanan tingkat platform yang memungkinkan Anda untuk mendeteksi dan memanfaatkan protokol baru yang lebih aman secara otomatis saat tersedia, seperti TLS 1.3.
Untuk informasi tentang dukungan TLS dengan agen Analitik Log untuk Windows dan Linux, yang merupakan dependensi untuk peran Hybrid Runbook Worker, lihat Gambaran umum agen Analitik Log - TLS.
Meningkatkan protokol TLS untuk panggilan Hybrid Workers dan Webhook
Mulai 31 Oktober 2024, semua node User Hybrid Runbook Worker, Webhook, dan DSC berbasis agen dan berbasis ekstensi menggunakan protokol Transport Layer Security (TLS) 1.0 dan 1.1 tidak akan lagi dapat terhubung ke Azure Automation. Semua pekerjaan yang berjalan atau dijadwalkan pada Hybrid Workers menggunakan protokol TLS 1.0 dan 1.1 akan gagal.
Pastikan bahwa panggilan Webhook yang memicu runbook menavigasi pada TLS 1.2 atau yang lebih tinggi. Pastikan untuk membuat perubahan registri sehingga pekerja berbasis Agen dan Ekstensi hanya bernegosiasi pada TLS 1.2 dan protokol yang lebih tinggi. Pelajari cara menonaktifkan protokol TLS 1.0/1.1 pada Windows Hybrid Worker dan mengaktifkan TLS 1.2 atau lebih tinggi pada komputer Windows.
Untuk Linux Hybrid Workers, jalankan skrip Python berikut untuk meningkatkan ke protokol TLS terbaru.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Panduan khusus platform
| Platform/Bahasa | Dukungan | Informasi Selengkapnya |
|---|---|---|
| Linux | Distribusi Linux cenderung mengandalkan OpenSSL untuk dukungan TLS 1.2. | Periksa OpenSSL Changelog untuk mengonfirmasi bahwa versi OpenSSL Anda didukung. |
| Windows 8.0 - 10 | Didukung, dan diaktifkan secara default. | Untuk mengonfirmasi bahwa Anda masih menggunakan pengaturan default. |
| Windows Server 2012 - 2016 | Didukung, dan diaktifkan secara default. | Untuk mengonfirmasi bahwa Anda masih menggunakan pengaturan default |
| Windows 7 SP1 dan Windows Server 2008 R2 SP1 | Didukung, tetapi tidak diaktifkan secara default. | Lihat halaman Pengaturan registri Keamanan Lapisan Transportasi (TLS) untuk detail tentang cara mengaktifkan. |
Retensi data
Saat Anda menghapus sumber daya di Azure Automation, sumber daya tersebut akan disimpan selama beberapa hari untuk tujuan audit sebelum penghapusan permanen. Anda tidak dapat melihat atau menggunakan sumber daya selama waktu ini. Kebijakan ini juga berlaku untuk sumber daya milik akun Automation yang dihapus. Kebijakan penyimpanan berlaku untuk semua pengguna dan saat ini tidak dapat dikustomisasi. Namun, jika Anda perlu menyimpan data untuk waktu yang lebih lama, Anda dapat meneruskan data pekerjaan Azure Automation ke log Azure Monitor.
Tabel berikut merangkum kebijakan penyimpanan untuk sumber daya yang berbeda.
| Data | Kebijakan |
|---|---|
| Akun | Akun akan dihapus secara permanen 30 hari setelah pengguna menghapusnya. |
| Aset | Aset akan dihapus secara permanen 30 hari setelah pengguna menghapusnya atau 30 hari setelah pengguna menghapus akun yang menyimpan aset tersebut. Aset termasuk variabel, jadwal, info masuk, sertifikat, paket Python 2, dan koneksi. |
| Simpul DSC | Simpul DSC akan dihapus secara permanen 30 hari setelah tidak terdaftar dari akun Automation menggunakan portal Microsoft Azure atau cmdlet Unregister-AzAutomationDscNode di Windows PowerShell. Simpul juga akan dihapus secara permanen 30 hari setelah pengguna menghapus akun yang menyimpan simpul tersebut. |
| Pekerjaan | Pekerjaan akan dihapus dan akan dihapus secara permanen 30 hari setelah modifikasi, misalnya, setelah pekerjaan selesai, dihentikan, atau ditangguhkan. |
| Modul | Modul akan dihapus secara permanen 30 hari setelah pengguna menghapusnya atau 30 hari setelah pengguna menghapus akun yang menyimpan modul tersebut. |
| Konfigurasi Simpul/File MOF | Konfigurasi simpul lama akan dihapus secara permanen 30 hari setelah konfigurasi simpul baru dibuat. |
| Laporan Simpul | Laporan simpul akan dihapus secara permanen 90 hari setelah laporan baru dibuat untuk simpul tersebut. |
| Runbook | Runbook akan dihapus secara permanen 30 hari setelah pengguna menghapus sumber daya atau 30 hari setelah pengguna menghapus akun yang menyimpan sumber daya tersebut1. |
1Runbook dapat dipulihkan dalam jangka waktu 30 hari dengan mengajukan insiden dukungan Azure dengan Dukungan Microsoft Azure. Buka situs web dukungan Azure, lalu pilih Kirim permintaan dukungan.
Pencadangan data
Saat Anda menghapus akun Automation di Azure, semua objek di akun akan dihapus. Objek termasuk runbook, modul, konfigurasi, pengaturan, pekerjaan, dan aset. Anda dapat memulihkan akun Automation yang dihapus dalam waktu 30 hari. Anda juga dapat menggunakan informasi berikut untuk mencadangkan konten akun Automation Anda sebelum menghapusnya:
Runbook
Anda dapat mengekspor runbook ke file skrip menggunakan portal Microsoft Azure atau cmdlet Get-AzureAutomationRunbookDefinition di Windows PowerShell. Anda dapat mengimpor file skrip ini ke akun Automation lain, seperti yang dibahas dalam Mengelola runbook di Azure Automation.
Modul integrasi
Anda tidak dapat mengekspor modul integrasi dari Azure Automation, modul tersebut harus tersedia di luar akun Automation.
Aset
Anda tidak dapat mengekspor aset Azure Automation: sertifikat, koneksi, info masuk, jadwal, dan variabel. Sebagai gantinya, Anda dapat menggunakan portal Microsoft Azure dan cmdlet Azure untuk mencatat detail aset ini. Kemudian gunakan detail ini untuk membuat aset apa pun yang digunakan oleh runbook yang Anda impor ke akun Automation lain.
Anda tidak dapat mengambil nilai untuk variabel terenkripsi atau bidang kata sandi info masuk menggunakan cmdlet. Jika Anda tidak mengetahui nilai-nilai ini, Anda dapat mengambilnya di runbook. Untuk mengambil nilai variabel, lihat Aset variabel di Azure Automation. Untuk mengetahui selengkapnya tentang mengambil nilai info masuk, lihat Aset info masuk di Azure Automation.
Konfigurasi DSC
Anda dapat mengekspor konfigurasi DSC ke file skrip menggunakan portal Microsoft Azure atau cmdlet Export-AzAutomationDscConfiguration di Windows PowerShell. Anda dapat mengimpor dan menggunakan konfigurasi ini di akun Automation lain.
Residensi data
Anda menentukan wilayah selama pembuatan akun Azure Automation. Data layanan seperti aset, konfigurasi, log disimpan di wilayah tersebut dan dapat transit atau diproses di wilayah lain dalam geografi yang sama. Titik akhir global ini diperlukan untuk memberi pengguna akhir pengalaman latensi rendah berkinerja tinggi terlepas dari lokasinya. Hanya untuk wilayah Brasil Selatan (Negara Bagian Sao Paulo) geografi Brasil, wilayah Asia Tenggara (Singapura) dan wilayah Asia Timur (Hongkong) dari geografi Asia Pasifik, kami menyimpan data Azure Automation di wilayah yang sama untuk mengakomodasi persyaratan residensi data untuk wilayah ini.
Langkah berikutnya
- Untuk mempelajari tentang panduan keamanan, lihat Praktik terbaik keamanan di Azure Automation.
- Untuk mempelajari selengkapnya tentang aset aman di Azure Automation, lihat Enkripsi aset aman di Azure Automation.
- Untuk mengetahui selengkapnya tentang replikasi lokasi geografis, lihat Membuat dan menggunakan replikasi lokasi geografis aktif.