Garis besar keamanan Azure untuk Azure Automation
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Automation. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Automation.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Automation telah dikecualikan. Untuk melihat bagaimana Automation sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Automation lengkap.
Profil keamanan
Profil keamanan meringkas perilaku Automation berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | MGMT/Tata Kelola |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
| Menyimpan konten pelanggan saat tidak aktif | True |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Sebarkan layanan ke jaringan virtual. Tetapkan IP privat ke sumber daya (jika berlaku). Ini adalah konfigurasi yang direkomendasikan dari sudut pandang keamanan; namun, ini mengharuskan Anda untuk mengonfigurasi Hybrid Runbook Worker yang terhubung ke jaringan virtual Azure & saat ini tidak mendukung pekerjaan cloud.
Jaringan untuk Azure Automation
Referensi: Gunakan Azure Private Link untuk menyambungkan jaringan dengan aman ke Azure Automation
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.
Referensi: Gunakan Azure Private Link untuk menyambungkan jaringan dengan aman ke Azure Automation
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: layanan Azure Automation mendukung penonaktifan akses jaringan publik baik melalui Azure Policy bawaan atau Anda juga dapat menggunakan cmdlet PowerShell - Mengatur bendera akses jaringan publik
Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan cmdlet PowerShell atau sakelar pengalih untuk akses jaringan publik.
Referensi: Akun Automation harus menonaktifkan akses jaringan publik
Manajemen identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Fitur Hybrid Runbook Worker pengguna berbasis ekstensi (v2) dari Azure Automation digunakan untuk menjalankan runbook langsung di komputer Azure atau non-Azure melalui server yang terdaftar di server dengan dukungan Azure Arc menggunakan autentikasi Azure AD.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Azure Automation gambaran umum autentikasi akun
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: layanan Azure Automation mendukung metode autentikasi lokal berbasis sertifikat untuk akses bidang data melalui jendela berbasis agen (v1) atau pekerja runbook Linux Hybrid, namun , ini bukan pendekatan yang disarankan untuk onboarding pekerja Hibrid. Gunakan metode penginstalan hybrid runbook worker berbasis ekstensi (v2) sebagai pendekatan yang direkomendasikan. Hindari penggunaan metode atau akun autentikasi lokal, metode atau akun ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Batasi penggunaan metode autentikasi lokal untuk akses sarana data. Sebagai gantinya, gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Menonaktifkan autentikasi lokal di Azure Automation
Referensi: Menyebarkan Windows Hybrid Runbook Worker berbasis agen di Automation
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Identitas Terkelola Sistem dibuat secara default jika Akun dibuat melalui portal, tetapi tidak secara default jika akun dibuat melalui API/cmdlet. Dapat diaktifkan pasca pembuatan akun juga.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Identitas terkelola
Perwakilan Layanan
Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Aset aman dalam Azure Automation mencakup kredensial, sertifikat, koneksi, dan variabel terenkripsi. Aset ini dienkripsi dan disimpan di Automation dengan menggunakan kunci unik yang dihasilkan untuk setiap akun Automation. Automation menyimpan kunci di layanan Key Vault yang dikelola sistem. Sebelum menyimpan aset aman, Automation memuat kunci dari Key Vault, lalu menggunakannya untuk mengenkripsi aset.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Mengelola kredensial di Azure Automation
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Automation terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat menginventarisasi atau mengkueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Mengelola izin dan keamanan peran di Azure Automation
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Lockbox tidak diimplementasikan untuk Azure Automation , melainkan layanan Azure Automation mengenkripsi skrip Runbook dan konfigurasi DSC dengan kunci yang dikelola Pelanggan sebelum menyimpan ke database SQL , membuat sumber daya otomatisasi dienkripsi.
/en-us/azure/automation/whats-new-archive#added-capability-to-keep-automation-runbooks-and-dsc-scripts-encrypted-by-default
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: TLS 1.2 untuk Azure Automation
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Aset aman dalam Azure Automation mencakup kredensial, sertifikat, koneksi, dan variabel terenkripsi. Aset ini dilindungi di Azure Automation menggunakan beberapa tingkat enkripsi. Secara default, akun Azure Automation Anda menggunakan kunci yang dikelola Microsoft.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Kunci yang dikelola Microsoft
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Automation:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Variabel akun otomatisasi harus dienkripsi | Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif | Audit, Tolak, Dinonaktifkan | 1.1.0 |
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Data tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
Referensi: Enkripsi aset aman di Azure Automation
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Azure Automation tidak mendukung integrasi dengan Key Vault secara asli untuk menyimpan rahasia kustom yang digunakan oleh runbook Automation mereka, namun mereka dapat mengakses Key Vault dengan menggunakan cmdlet Key Vault dari dalam kode runbook Automation.
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Aset aman dalam Azure Automation mencakup kredensial, sertifikat, koneksi, dan variabel terenkripsi. Aset ini dienkripsi dan disimpan di Automation dengan menggunakan kunci unik yang dihasilkan untuk setiap akun Automation. Automation menyimpan kunci di layanan Key Vault yang dikelola sistem. Sebelum menyimpan aset aman, Automation memuat kunci dari Key Vault, lalu menggunakannya untuk mengenkripsi aset.
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup sertifikat, termasuk pembuatan, impor, rotasi, pencabutan, penyimpanan, dan penghapusan menyeluruh sertifikat. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault dan layanan Azure (jika didukung) berdasarkan jadwal yang ditentukan atau ketika ada kedaluwarsa sertifikat. Jika rotasi otomatis tidak didukung dalam aplikasi, pastikan mereka masih diputar menggunakan metode manual di Azure Key Vault dan aplikasi.
Referensi: Mengelola sertifikat di Azure Automation
Manajemen Aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Azure Policy definisi bawaan untuk Azure Automation
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Microsoft Defender untuk Penawaran Layanan / Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Catatan fitur: Azure Automation dapat mengirim status pekerjaan runbook dan aliran pekerjaan ke ruang kerja Analitik Log Anda. Log pekerjaan dan aliran pekerjaan terlihat di portal Azure, atau dengan PowerShell untuk pekerjaan individual.
Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Konten log sumber daya bervariasi menurut jenis layanan dan sumber daya Azure. Azure Automation dapat mengirim status pekerjaan runbook dan aliran pekerjaan ke ruang kerja Analitik Log Anda. Log pekerjaan dan aliran pekerjaan terlihat di portal Azure, atau dengan PowerShell untuk pekerjaan individual.
Referensi: Meneruskan log diagnostik Azure Automation ke Azure Monitor
Pencadangan dan Pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis secara rutin
Fitur
Pencadangan Azure
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Azure Automation pencadangan melalui Azure Backup tidak didukung. Anda bertanggung jawab untuk memastikan bahwa Anda mempertahankan cadangan konfigurasi Automation yang valid seperti runbook dan aset.
Anda dapat menggunakan Azure Resource Manager untuk menyebarkan akun Automation, dan sumber daya terkait. Anda dapat mengekspor templat Azure Resource Manager untuk digunakan sebagai cadangan untuk memulihkan akun Automation dan sumber daya terkait. Gunakan Automation untuk memanggil API ekspor templat Azure Resource Manager secara teratur.
Ikuti (Automation Data Backup) [/azure/automation/automation-managing-data#data-backup] untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini. Anda juga dapat memanfaatkan panduan tentang penyiapan (Pemulihan bencana)[/azure/automation/automation-disaster-recovery?tabs=win-hrw%2Cps-script%2Coption-one] untuk akun Automation.
Anda juga dapat menggunakan fitur integrasi kontrol sumber untuk menjaga runbook di akun Automation tetap terbaru dengan skrip di repositori kontrol sumber.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Azure Automation tidak menyediakan mekanisme pencadangan asli. Anda bertanggung jawab untuk memastikan bahwa Anda mempertahankan cadangan konfigurasi Automation yang valid seperti runbook dan aset.
Anda dapat menggunakan Azure Resource Manager untuk menyebarkan akun Automation, dan sumber daya terkait. Anda dapat mengekspor templat Azure Resource Manager untuk digunakan sebagai cadangan untuk memulihkan akun Automation dan sumber daya terkait. Gunakan Automation untuk memanggil API ekspor templat Azure Resource Manager secara teratur.
Anda juga dapat menggunakan fitur integrasi kontrol sumber untuk menjaga runbook di akun Automation tetap terbaru dengan skrip di repositori kontrol sumber.
Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini. Anda juga dapat memanfaatkan panduan tentang menyiapkan Pemulihan bencana untuk akun Automation.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Langkah berikutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang Garis besar keamanan Azure