Azure Automation의 보안 모범 사례

Important

클래식 실행 계정을 포함한 Azure Automation 실행 계정은 2023년 9월 30일에 사용 중지되었으며 관리 ID로 대체되었습니다. 더 이상 Azure Portal을 통해 실행 계정을 만들거나 갱신할 수 없습니다. 자세한 내용은 기존 실행 계정에서 관리 ID로 마이그레이션을 참조하세요.

이 문서에서는 Automation 작업을 안전하게 실행하는 모범 사례를 자세히 설명합니다. Azure Automation은 빈번하고 시간이 오래 걸리며 오류가 발생하기 쉬운 인프라 관리 및 운영 작업과 중요 업무용 작업을 오케스트레이션할 수 있는 플랫폼을 제공합니다. 이 서비스를 사용하면 클라우드 및 하이브리드 환경에서 자동화 Runbook으로 알려진 스크립트를 원활하게 실행할 수 있습니다.

Azure Automation 서비스의 플랫폼 구성 요소는 적극적으로 보호되고 강화됩니다. 이 서비스는 강력한 보안 및 규정 준수 검사를 통과합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 워크로드, 데이터 및 서비스의 보안을 향상시키는 데 도움이 되는 모범 사례와 권장 사항을 자세히 설명합니다. Azure Automation에 대한 Azure 보안 기준도 참조하세요.

Automation 계정의 보안 구성

이 섹션에서는 Automation 계정을 안전하게 구성하는 방법을 안내합니다.

사용 권한

1. Automation 리소스에 대한 액세스 권한을 부여하는 경우 최소 권한 원칙에 따라 작업을 수행합니다. Automation 세분화된 RBAC 역할을 구현하고 구독 수준과 같은 광범위한 역할 또는 범위를 할당하지 않습니다. 사용자 지정 역할을 만드는 경우 사용자에게 필요한 권한만 포함합니다. 역할과 범위를 제한하면 보안 주체가 손상되는 경우 위험에 노출되는 리소스를 제한할 수 있습니다. 역할 기반 액세스 제어 개념에 대한 자세한 내용은 Azure 역할 기반 액세스 제어 모범 사례를 참조하세요.

2. automationaccounts/*/read와 같은 Automation 리소스 또는 하위 리소스에 대한 모든 권한을 의미하므로 와일드카드(*)가 있는 작업을 포함하는 역할은 사용하지 않습니다. 대신 필요한 권한에 대한 특정 작업만 사용합니다.

3. 사용자가 Automation 계정의 모든 Runbook에 액세스할 필요가 없는 경우 Runbook 수준의 역할 기반 액세스를 구성합니다.

4. 손상된 소유자의 위반 가능성을 줄이기 위해 Automation 기여자와 같은 권한 있는 역할의 수를 제한합니다.

5. Microsoft Entra Privileged Identity Management를 사용하여 권한 있는 계정을 악의적인 사이버 공격으로부터 보호하고 보고 및 경고를 통해 사용에 대한 가시성을 높입니다.

Hybrid Runbook Worker 역할 보안

1. Log Analytics 에이전트에 대한 종속성이 없는 Hybrid Runbook Worker VM 확장을 사용하여 하이브리드 작업자를 설치합니다. Microsoft Entra ID 기반 인증을 활용하므로 이 플랫폼을 사용하는 것이 좋습니다. Azure Automation의 Hybrid Runbook Worker 기능을 사용하면 Azure에서 역할을 호스트하는 컴퓨터 또는 비 Azure 컴퓨터에서 직접 Runbook을 실행하여 로컬 환경에서 Automation 작업을 실행할 수 있습니다.

   • 하이브리드 작업자 및 하이브리드 그룹을 등록하거나 등록 취소하고 하이브리드 Runbook 작업자 그룹에 대한 Runbook을 실행하는 것과 같은 작업을 관리하는 사용자의 경우 높은 권한의 사용자 또는 하이브리드 작업자 사용자 지정 역할만 사용합니다.
   • 동일한 사용자의 경우 하이브리드 작업자 역할을 호스트하는 컴퓨터에 대한 VM 기여자 액세스 권한도 필요합니다. VM 기여자는 높은 권한의 역할이므로 제한된 권한의 사용자 집합만 하이브리드 작업을 관리할 수 있도록 하여 손상된 소유자의 위반 가능성을 줄입니다.

   Azure RBAC 모범 사례를 따릅니다.

2. 최소 권한 원칙을 따르고 하이브리드 작업자에 대한 Runbook을 실행하는 데 필요한 권한만 사용자에게 부여합니다. 무제한 권한을 하이브리드 Runbook 작업자 역할을 호스트하는 컴퓨터에 제공하지 않습니다. 무제한 액세스의 경우 VM 기여자 권한이 있거나 하이브리드 작업자 컴퓨터에 대해 명령을 실행할 수 있는 권한이 있는 사용자는 하이브리드 작업자 컴퓨터의 Automation 계정 실행 인증서를 사용할 수 있으며, 잠재적으로 악의적인 사용자 액세스를 구독 기여자로 허용할 수 있습니다. 이로 인해 Azure 환경의 보안이 위험해질 수 있습니다. 하이브리드 Runbook 작업자 및 하이브리드 Runbook 작업자 그룹에 대해 Automation Runbook을 관리해야 하는 사용자에게는 하이브리드 작업자 사용자 지정 역할을 사용합니다.

3. 사용하지 않거나 응답하지 않는 하이브리드 작업자를 등록 취소합니다.

인증 인증서 및 ID

1. Runbook 인증의 경우 실행 계정 대신 관리 ID를 사용하는 것이 좋습니다. 실행 계정은 관리 오버헤드이며 더 이상 사용되지 않습니다. Microsoft Entra ID의 관리 ID를 사용하면 Runbook이 Azure Key Vault 등의 다른 Microsoft Entra 보호 리소스에 쉽게 액세스할 수 있습니다. ID는 Azure 플랫폼에서 관리하며 비밀을 프로비전하거나 회전할 필요가 없습니다. Azure Automation의 관리 ID에 대한 자세한 내용은 Azure Automation의 관리 ID를 참조하세요.

   Automation 계정은 두 가지 유형의 관리 ID를 사용하여 인증할 수 있습니다.

   • 시스템 할당 ID는 애플리케이션에 연결되어 있으며, 해당 앱을 삭제하면 이 ID도 삭제됩니다. 앱에는 하나의 시스템 할당 ID만 있을 수 있습니다.
   • 사용자 할당 ID는 앱에 할당할 수 있는 독립 실행형 Azure 리소스입니다. 앱에는 여러 사용자 할당 ID가 있을 수 있습니다.

   자세한 내용은 관리 ID 모범 사례 권장 사항을 따르세요.

2. Azure Automation 키를 주기적으로 회전합니다. 키를 다시 생성하면 이후의 DSC 또는 하이브리드 작업자 노드 등록에서 이전 키를 사용하지 못하도록 방지합니다. Automation 키 대신 Microsoft Entra 인증을 사용하는 확장 기반 하이브리드 작업자를 사용하는 것이 좋습니다. Microsoft Entra는 ID 및 리소스 자격 증명의 제어 및 관리를 중앙 집중화합니다.

데이터 보안

1. 자격 증명, 인증서, 연결 및 암호화된 변수를 포함하여 Azure Automation의 자산을 보호합니다. 이러한 자산은 여러 수준의 암호화를 사용하여 Azure Automation에서 보호됩니다. 기본적으로 데이터는 Microsoft 관리형 키로 암호화됩니다. 암호화 키를 추가로 제어하기 위해 Automation 자산의 암호화에 사용할 고객 관리형 키를 제공할 수 있습니다. Automation 서비스에서 키에 액세스할 수 있으려면 이러한 키가 Azure Key Vault에 있어야 합니다. 고객 관리형 키를 사용하여 보안 자산 암호화를 참조하세요.

2. 작업 출력의 자격 증명 또는 인증서 세부 정보를 인쇄하지 마세요. 낮은 권한의 사용자인 Automation 작업 운영자가 중요한 정보를 볼 수 있습니다.

3. 백업의 유효성을 검사하고 보호하여 예기치 않은 이벤트가 발생한 후에도 비즈니스 연속성을 유지할 수 있도록 Runbook 및 자산과 같은 Automation 구성의 유효한 백업을 유지 관리합니다.

네트워크 격리

1. Azure Private Link를 사용하여 하이브리드 Runbook 작업자를 Azure Automation에 안전하게 연결합니다. Azure Private Endpoint는 Azure Private Link에서 제공하는 Azure Automation 서비스에 비공개로 안전하게 연결하는 네트워크 인터페이스입니다. Private Endpoint는 VNet(Virtual Network)의 개인 IP 주소를 사용하여 Automation 서비스를 VNet으로 효과적으로 가져옵니다.

인터넷에 대한 아웃바운드 연결을 열 필요 없이 Azure VNet의 Runbook을 통해 비공개로 다른 서비스에 액세스하고 관리하려는 경우 Azure VNet에 연결된 Hybrid Worker에서 Runbook을 실행할 수 있습니다.

Azure Automation에 대한 정책

Azure Automation에 대한 Azure Policy 권장 사항을 검토하고 작업을 적절하게 수행합니다. Azure Automation 정책을 참조하세요.

다음 단계

• Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하는 방법을 알아보려면 Azure Automation에서 역할 권한 및 보안 관리를 참조하세요.
• Azure에서 개인 정보를 보호하고 데이터를 보호하는 방법에 대한 자세한 내용은 Azure Automation 데이터 보안을 참조하세요.
• 암호화를 사용하도록 Automation 계정을 구성하는 방법을 알아보려면 Azure Automation의 보안 자산 암호화를 참조하세요.