Procedure consigliate per la sicurezza in Automazione di Azure

Importante

Automazione di Azure account Runas, inclusi gli account Runas classici, sono stati ritirati il 30 settembre 2023 e sostituiti con identità gestite. Non sarà più possibile creare o rinnovare gli account Runas tramite il portale di Azure. Per altre informazioni, vedere Eseguire la migrazione da un account RunAs esistente a Identità gestita.

Questo articolo illustra in dettaglio le procedure consigliate per eseguire in modo sicuro i processi di automazione. Automazione di Azure offre la piattaforma per orchestrare attività operative e di gestione dell'infrastruttura frequenti e soggette a errori, nonché operazioni cruciali. Questo servizio consente di eseguire script, noti come runbook di automazione in modo semplice in ambienti cloud e ibridi.

I componenti della piattaforma del servizio Automazione di Azure sono protetti e protetti attivamente. Il servizio esegue controlli di sicurezza e conformità affidabili. Il benchmark della sicurezza cloud Microsoft illustra in dettaglio le procedure consigliate e le raccomandazioni per migliorare la sicurezza dei carichi di lavoro, dei dati e dei servizi in Azure. Vedere anche Baseline di sicurezza di Azure per Automazione di Azure.

Configurazione sicura dell'account di Automazione

Questa sezione illustra come configurare l'account di Automazione in modo sicuro.

Autorizzazioni

1. Seguire il principio dei privilegi minimi per svolgere il lavoro quando si concede l'accesso alle risorse di Automazione. Implementare ruoli controllo degli accessi in base al ruolo granulari di Automazione ed evitare di assegnare ruoli o ambiti più ampi, ad esempio il livello di sottoscrizione. Quando si creano i ruoli personalizzati, includere solo le autorizzazioni necessarie agli utenti. Limitando ruoli e ambiti, si limitano le risorse a rischio se l'entità di sicurezza è mai compromessa. Per informazioni dettagliate sui concetti relativi al controllo degli accessi in base al ruolo, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

2. Evitare ruoli che includono Azioni con un carattere jolly (*) perché implica l'accesso completo alla risorsa di Automazione o a una sotto-risorsa, ad esempio automationaccounts/*/read. Usare invece azioni specifiche solo per l'autorizzazione richiesta.

3. Configurare l'accesso in base al ruolo a livello di runbook se l'utente non richiede l'accesso a tutti i runbook nell'account di Automazione.

4. Limitare il numero di ruoli con privilegi elevati, ad esempio Collaboratore automazione, per ridurre il rischio di violazione da parte di un proprietario compromesso.

5. Usare Microsoft Entra Privileged Identity Management per proteggere gli account con privilegi da attacchi informatici dannosi per aumentare la visibilità sull'uso tramite report e avvisi.

Protezione del ruolo di lavoro ibrido per runbook

1. Installare i ruoli di lavoro ibridi usando l'estensione macchina virtuale ruolo di lavoro ibrido per runbook, che non ha alcuna dipendenza dall'agente di Log Analytics. È consigliabile usare questa piattaforma perché sfrutta l'autenticazione basata sull'ID di Microsoft Entra. La funzionalità ruolo di lavoro ibrido per runbook di Automazione di Azure consente di eseguire runbook direttamente nel computer che ospita il ruolo in Azure o in un computer non Azure per eseguire processi di automazione nell'ambiente locale.

   • Usare solo utenti con privilegi elevati o ruoli personalizzati di lavoro ibridi per gli utenti responsabili della gestione delle operazioni, ad esempio la registrazione o l'annullamento della registrazione di ruoli di lavoro ibridi e dei gruppi ibridi e l'esecuzione di runbook nei gruppi di ruoli di lavoro ibridi per runbook.
   • Lo stesso utente richiederebbe anche l'accesso collaboratore della macchina virtuale nel computer che ospita il ruolo di lavoro ibrido. Poiché il collaboratore della macchina virtuale è un ruolo con privilegi elevati, assicurarsi che solo un set limitato di utenti abbia accesso per gestire il funzionamento ibrido, riducendo così il rischio di violazione da parte di un proprietario compromesso.

   Seguire le procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

2. Seguire il principio dei privilegi minimi e concedere solo le autorizzazioni necessarie agli utenti per l'esecuzione di runbook in un ruolo di lavoro ibrido. Non fornire autorizzazioni senza restrizioni per il computer che ospita il ruolo di lavoro ibrido per runbook. In caso di accesso senza restrizioni, un utente con diritti di collaboratore macchina virtuale o avere le autorizzazioni per eseguire i comandi nel computer del ruolo di lavoro ibrido può usare il certificato RunAs dell'account di Automazione dal computer del ruolo di lavoro ibrido e potrebbe potenzialmente consentire a un utente malintenzionato l'accesso come collaboratore alla sottoscrizione. Ciò potrebbe compromettere la sicurezza dell'ambiente Azure. Usare ruoli di lavoro ibridi personalizzati per gli utenti responsabili della gestione dei runbook di Automazione nei ruoli di lavoro ibridi per runbook e nei gruppi di ruoli di lavoro ibridi per runbook.

3. Annullare la registrazione di eventuali ruoli di lavoro ibridi inutilizzati o non reattivi.

Certificato di autenticazione e identità

1. Per l'autenticazione del runbook, è consigliabile usare identità gestite anziché account RunAs. Gli account RunAs rappresentano un sovraccarico amministrativo e si prevede di deprecarli. Un'identità gestita da Microsoft Entra ID consente al runbook di accedere facilmente ad altre risorse protette di Microsoft Entra, ad esempio Azure Key Vault. L'identità viene gestita dalla piattaforma Azure e non è necessario eseguire il provisioning o ruotare alcun segreto. Per altre informazioni sulle identità gestite in Automazione di Azure, vedere Identità gestite per Automazione di Azure

   È possibile autenticare un account di Automazione usando due tipi di identità gestite:

   • L'identità assegnata dal sistema è associata all'applicazione e viene eliminata se l'app viene eliminata. A un'app può essere associata una sola identità assegnata dal sistema.
   • L'identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata all'app. Un'app può avere più identità assegnate dall'utente.

   Per altri dettagli, seguire le raccomandazioni sulle procedure consigliate per l'identità gestita.

2. Ruotare periodicamente le chiavi Automazione di Azure. La rigenerazione della chiave impedisce alle registrazioni future dei nodi dsc o di lavoro ibrido di usare le chiavi precedenti. È consigliabile usare i ruoli di lavoro ibridi basati su estensione che usano l'autenticazione Di Microsoft Entra anziché le chiavi di automazione. Microsoft Entra ID centralizza il controllo e la gestione delle identità e delle credenziali delle risorse.

Sicurezza dei dati

1. Proteggere gli asset in Automazione di Azure inclusi credenziali, certificati, connessioni e variabili crittografate. Questi asset sono protetti in Automazione di Azure con più livelli di crittografia. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un ulteriore controllo sulle chiavi di crittografia, è possibile fornire chiavi gestite dal cliente da usare per la crittografia degli asset di automazione. Queste chiavi devono essere presenti in Azure Key Vault per consentire al servizio automazione di accedere alle chiavi. Vedere Crittografia degli asset sicuri con chiavi gestite dal cliente.

2. Non stampare le credenziali o i dettagli del certificato nell'output del processo. Un operatore di processo di Automazione che è l'utente con privilegi limitati può visualizzare le informazioni riservate.

3. Mantenere un backup valido della configurazione di Automazione , ad esempio runbook e asset, assicurando che i backup vengano convalidati e protetti per mantenere la continuità aziendale dopo un evento imprevisto.

Isolamento della rete

1. Usare collegamento privato di Azure per connettere in modo sicuro i ruoli di lavoro ibridi per runbook a Automazione di Azure. L'endpoint privato di Azure è un'interfaccia di rete che connette privatamente e in modo sicuro a un servizio Automazione di Azure basato su collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato dall'Rete virtuale (VNet) per portare effettivamente il servizio di automazione nella rete virtuale.

Se si vuole accedere e gestire altri servizi privatamente tramite runbook dalla rete virtuale di Azure senza la necessità di aprire una connessione in uscita a Internet, è possibile eseguire runbook in un ruolo di lavoro ibrido connesso alla rete virtuale di Azure.

Criteri per Automazione di Azure

Esaminare le raccomandazioni Criteri di Azure per Automazione di Azure e agire in base alle esigenze. Vedere Automazione di Azure criteri.

Passaggi successivi

• Per informazioni su come usare il controllo degli accessi in base al ruolo di Azure, vedere Gestire le autorizzazioni e la sicurezza dei ruoli in Automazione di Azure.
• Per informazioni su come Azure protegge la privacy e protegge i dati, vedere Automazione di Azure sicurezza dei dati.
• Per informazioni sulla configurazione dell'account di Automazione per l'uso della crittografia, vedere Crittografia degli asset sicuri in Automazione di Azure.