Рекомендации по обеспечению безопасности в служба автоматизации Azure

Важно!

служба автоматизации Azure учетные записи запуска от имени, включая классические учетные записи запуска от имени, отставили 30 сентября 2023 года и заменили управляемыми удостоверениями. Вы больше не сможете создавать или обновлять учетные записи запуска от имени через портал Azure. Дополнительные сведения см. в статье Переход от существующих учетных записей запуска от имени к управляемому удостоверению.

В этой статье описаны рекомендации по безопасному выполнению заданий автоматизации. служба автоматизации Azure предоставляет платформу для оркестрации частого, потребляющего времени, управления инфраструктурой и операционных задач, а также критически важных операций. Эта служба позволяет выполнять скрипты, известные как модули Runbook автоматизации в облачных и гибридных средах.

Компоненты платформы службы служба автоматизации Azure активно защищены и защищены. Служба проходит через надежные проверка безопасности и соответствия требованиям. Microsoft Cloud Security benchmark подробно описывает рекомендации и рекомендации по повышению безопасности рабочих нагрузок, данных и служб в Azure. Также см. базовые показатели безопасности Azure для служба автоматизации Azure.

Безопасная конфигурация учетной записи службы автоматизации

В этом разделе описано, как безопасно настроить учетную запись службы автоматизации.

Разрешения

1. Следуйте принципу наименьших привилегий, чтобы выполнить работу при предоставлении доступа к ресурсам службы автоматизации. Реализуйте детализированные роли RBAC службы автоматизации и избегайте назначения более широких ролей или область, таких как уровень подписки. При создании пользовательских ролей включите только необходимые пользователям разрешения. Ограничивая роли и область, вы ограничиваете ресурсы, которые подвергаются риску, если субъект безопасности когда-либо скомпрометирован. Подробные сведения о концепциях управления доступом на основе ролей см . в рекомендациях по управлению доступом на основе ролей Azure.

2. Избегайте ролей, включающих действия с диким карта (*), так как он подразумевает полный доступ к ресурсу службы автоматизации или подресурсу, например automationaccounts/*/read. Вместо этого используйте определенные действия только для требуемого разрешения.

3. Настройте доступ на основе ролей на уровне runbook, если пользователю не требуется доступ ко всем модулям Runbook в учетной записи службы автоматизации.

4. Ограничить количество высоко привилегированных ролей, таких как участник службы автоматизации, чтобы уменьшить вероятность нарушения скомпрометированным владельцем.

5. Используйте Microsoft Entra управление привилегированными пользователями для защиты привилегированных учетных записей от вредоносных кибератак, чтобы повысить видимость их использования с помощью отчетов и оповещений.

Защита гибридной рабочей роли Runbook

1. Установите гибридные рабочие роли с помощью расширения виртуальной машины гибридной рабочей роли Runbook, которая не имеет никакой зависимости от агента Log Analytics. Мы рекомендуем эту платформу, так как она использует проверку подлинности на основе идентификатора Microsoft Entra. Функция гибридной рабочей роли Runbook служба автоматизации Azure позволяет выполнять модули Runbook непосредственно на компьютере, на котором размещена роль в Azure или на компьютере, отличном от Azure, для выполнения заданий службы автоматизации в локальной среде.

   • Используйте только пользователей с высокими привилегиями или пользовательские роли гибридной рабочей роли для пользователей, ответственных за управление такими операциями, как регистрация или отмена регистрации гибридных рабочих ролей и гибридных групп и выполнение модулей Runbook для гибридных рабочих групп Runbook.
   • Для того же пользователя также потребуется участник виртуальной машины на компьютере, где размещена гибридная рабочая роль. Так как участник виртуальной машины является ролью с высоким уровнем привилегий, убедитесь, что только ограниченный набор прав пользователей имеет доступ к управлению гибридными работами, тем самым уменьшая вероятность нарушения со стороны скомпрометированного владельца.

   Следуйте рекомендациям Azure RBAC.

2. Следуйте принципу минимальных привилегий и предоставьте пользователям только необходимые разрешения для выполнения модуля Runbook для гибридной рабочей роли. Не предоставляйте неограниченные разрешения на компьютер, на котором размещена гибридная рабочая роль Runbook. В случае неограниченного доступа пользователь с правами участника виртуальной машины или разрешения на выполнение команд на гибридном рабочем компьютере может использовать сертификат запуска от имени учетной записи службы автоматизации с гибридного рабочего компьютера и может потенциально разрешить вредоносным пользователям доступ в виде подписки участник. Это может поставить под угрозу безопасность вашей среды Azure. Используйте пользовательские роли гибридной рабочей роли для пользователей, ответственных за управление модулями Runbook службы автоматизации для гибридных рабочих ролей Runbook и гибридных рабочих групп Runbook.

3. Отмена регистрации всех неиспользуемых или неотвеченных гибридных рабочих ролей.

Сертификаты и удостоверения проверки подлинности

1. Для проверки подлинности Runbook рекомендуется использовать управляемые удостоверения вместо учетных записей запуска от имени. Учетные записи запуска от имени — это административные издержки, и мы планируем их отменять. Управляемое удостоверение из идентификатора Microsoft Entra позволяет runbook легко получить доступ к другим защищенным ресурсам Microsoft Entra, таким как Azure Key Vault. Удостоверения управляются платформой Azure, и для них не нужно подготавливать или изменять секреты. Дополнительные сведения об управляемых удостоверениях в служба автоматизации Azure см. в разделе "Управляемые удостоверения" для служба автоматизации Azure

   Вы можете пройти проверку подлинности учетной записи службы автоматизации с помощью двух типов управляемых удостоверений:

   • Назначаемое системой удостоверение привязано к приложению и удаляется при удалении приложения. Приложение может иметь только одно назначаемое системой удостоверение.
   • Назначаемое пользователем удостоверение — это автономный ресурс Azure, который можно назначить приложению. Приложение может иметь несколько назначаемых пользователем удостоверений.

   Дополнительные сведения см. в рекомендациях по использованию управляемого удостоверения.

2. Периодически поворачивайте ключи служба автоматизации Azure. Повторное создание ключей предотвращает будущие регистрации DSC или гибридных рабочих узлов с использованием предыдущих ключей. Рекомендуется использовать гибридные рабочие роли на основе расширений, которые используют проверку подлинности Microsoft Entra вместо ключей автоматизации. Идентификатор Microsoft Entra централизованно управляет удостоверениями и учетными данными ресурсов и управляет ими.

Безопасность данных

1. Защитите ресурсы в служба автоматизации Azure включая учетные данные, сертификаты, подключения и зашифрованные переменные. Для защиты этих ресурсов в службе автоматизации Azure используется несколько уровней шифрования. По умолчанию данные шифруются с помощью ключей, управляемых Майкрософт. Для дополнительного управления ключами шифрования можно предоставить управляемые клиентом ключи для шифрования ресурсов службы автоматизации. Эти ключи должны присутствовать в Azure Key Vault для службы автоматизации, чтобы иметь доступ к ключам. См . шифрование защищенных ресурсов с помощью ключей, управляемых клиентом.

2. Не печатайте учетные данные или сведения о сертификате в выходных данных задания. Оператор задания службы автоматизации, который является пользователем с низким уровнем привилегий, может просматривать конфиденциальную информацию.

3. Сохраняйте допустимую резервную копию конфигурации службы автоматизации , например модули Runbook и ресурсы, обеспечивающие проверку резервных копий и защиту для обеспечения непрерывности бизнес-процессов после неожиданного события.

Сетевая изоляция

1. Используйте Приватный канал Azure для безопасного подключения гибридных рабочих ролей Runbook к служба автоматизации Azure. Частная конечная точка Azure — это сетевой интерфейс, который подключает вас к службе служба автоматизации Azure, подключенной к Приватный канал Azure. Частная конечная точка использует частный IP-адрес из виртуальная сеть (виртуальной сети), чтобы эффективно перенести службу автоматизации в виртуальную сеть.

Если вы хотите получить доступ к другим службам и управлять ими в частном порядке с помощью модулей Runbook из виртуальной сети Azure без необходимости открывать исходящее подключение к Интернету, можно выполнять модули Runbook в гибридной рабочей роли, подключенной к виртуальной сети Azure.

Политики для служба автоматизации Azure

Просмотрите рекомендации Политика Azure для служба автоматизации Azure и действовать соответствующим образом. См. служба автоматизации Azure политики.

Следующие шаги

• Сведения об использовании управления доступом на основе ролей Azure (Azure RBAC) см. в статье "Управление разрешениями ролей и безопасностью в служба автоматизации Azure".
• Сведения о защите конфиденциальности и защите данных в Azure см. в служба автоматизации Azure безопасности данных.
• Сведения о настройке учетной записи службы автоматизации для использования шифрования см. в разделе "Шифрование безопасных ресурсов" в служба автоматизации Azure.