Beheer van Azure Automation-gegevens

Dit artikel bevat verschillende onderwerpen waarin wordt uitgelegd hoe gegevens worden beveiligd en beveiligd in een Azure Automation-omgeving.

TLS 1.2 voor Azure Automation

Om de beveiliging van gegevens die worden overgedragen naar Azure Automation te verzekeren, raden we u sterk aan het gebruik van TLS 1.2 (Transport Layer Security) te configureren. Hier volgt een lijst met methoden of clients die via HTTPS communiceren met de Automation-service:

  • Webhook-aanroepen

  • Hybrid Runbook Workers, waaronder machines die worden beheerd door Updatebeheer en Wijzigingen bijhouden en inventaris.

  • DSC-knooppunten

Oudere versies van TLS/Secure Sockets Layer (SSL) zijn kwetsbaar gebleken en hoewel ze momenteel nog steeds werken om achterwaartse compatibiliteit mogelijk te maken, worden ze niet aanbevolen. Het wordt afgeraden uw agent expliciet in te stellen om alleen TLS 1.2 te gebruiken, tenzij dit nodig is, omdat dit beveiligingsfuncties op platformniveau kan verbreken waardoor u automatisch nieuwere, veiligere protocollen kunt detecteren en gebruiken zodra deze beschikbaar zijn, zoals TLS 1.3.

Zie Overzicht van Log Analytics-agent - TLS 1.2 voor informatie over TLS 1.2-ondersteuning met de Log Analytics-agent voor Windows en Linux, een afhankelijkheid voor de rol Hybrid Runbook Worker.

Platformspecifieke richtlijnen

Platform/taal Ondersteuning Meer informatie
Linux Linux-distributies zijn meestal afhankelijk van OpenSSL voor TLS 1.2-ondersteuning. Controleer het OpenSSL-wijzigingenlogboek om te bevestigen dat uw versie van OpenSSL wordt ondersteund.
Windows 8.0 - 10 Ondersteund en standaard ingeschakeld. Om te bevestigen dat u nog steeds de standaardinstellingen gebruikt.
Windows Server 2012 - 2016 Ondersteund en standaard ingeschakeld. Bevestigen dat u nog steeds de standaardinstellingen gebruikt
Windows 7 SP1 en Windows Server 2008 R2 SP1 Ondersteund, maar niet standaard ingeschakeld. Zie de pagina met registerinstellingen voor TLS (Transport Layer Security) voor meer informatie over het inschakelen.

Gegevensretentie

Wanneer u een resource in Azure Automation verwijdert, wordt deze vele dagen bewaard voor controledoeleinden voordat deze definitief wordt verwijderd. U kunt de resource gedurende deze periode niet zien of gebruiken. Dit beleid is ook van toepassing op resources die deel uitmaken van een verwijderd Automation-account. Het bewaarbeleid is van toepassing op alle gebruikers en kan momenteel niet worden aangepast. Als u gegevens echter langer wilt bewaren, kunt u Azure Automation taakgegevens doorsturen naar Azure Monitor-logboeken.

De volgende tabel bevat een overzicht van het bewaarbeleid voor verschillende resources.

Gegevens Beleid
Accounts Een account wordt 30 dagen nadat een gebruiker het heeft verwijderd, definitief verwijderd.
Assets Een asset wordt 30 dagen nadat een gebruiker het heeft verwijderd, of 30 dagen nadat een gebruiker een account met de asset heeft verwijderd, definitief verwijderd. Assets omvatten variabelen, planningen, referenties, certificaten, Python 2-pakketten en verbindingen.
DSC-knooppunten Een DSC-knooppunt wordt 30 dagen na de registratie van een Automation-account definitief verwijderd met behulp van Azure Portal of de cmdlet Unregister-AzAutomationDscNode in Windows PowerShell. Een knooppunt wordt ook 30 dagen nadat een gebruiker het account met het knooppunt heeft verwijderd, definitief verwijderd.
Taken Een taak wordt 30 dagen na de wijziging verwijderd en definitief verwijderd, bijvoorbeeld nadat de taak is voltooid, is gestopt of is onderbroken.
Modules Een module wordt 30 dagen nadat een gebruiker deze heeft verwijderd, of 30 dagen nadat een gebruiker het account met de module heeft verwijderd, definitief verwijderd.
Knooppuntconfiguraties/MOF-bestanden Een oude knooppuntconfiguratie wordt 30 dagen nadat een nieuwe knooppuntconfiguratie is gegenereerd, definitief verwijderd.
Knooppuntrapporten Een knooppuntrapport wordt 90 dagen nadat een nieuw rapport voor dat knooppunt is gegenereerd, definitief verwijderd.
Runbooks Een runbook wordt 30 dagen nadat een gebruiker de resource heeft verwijderd, of 30 dagen nadat een gebruiker het account met de resource1 heeft verwijderd, definitief verwijderd.

1 Het runbook kan binnen het venster van 30 dagen worden hersteld door een ondersteuning voor Azure incident in te dienen bij Microsoft Azure-ondersteuning. Ga naar de ondersteuning voor Azure-site en selecteer Een ondersteuningsaanvraag indienen.

Back-up van gegevens

Wanneer u een Automation-account in Azure verwijdert, worden alle objecten in het account verwijderd. De objecten omvatten runbooks, modules, configuraties, instellingen, taken en assets. Ze kunnen niet worden hersteld nadat het account is verwijderd. U kunt de volgende informatie gebruiken om een back-up te maken van de inhoud van uw Automation-account voordat u deze verwijdert.

Runbooks

U kunt uw runbooks exporteren naar scriptbestanden met behulp van de Azure Portal of de cmdlet Get-AzureAutomationRunbookDefinition in Windows PowerShell. U kunt deze scriptbestanden importeren in een ander Automation-account, zoals beschreven in Runbooks beheren in Azure Automation.

Integratiemodules

U kunt geen integratiemodules exporteren vanuit Azure Automation. Deze moeten beschikbaar worden gesteld buiten het Automation-account.

Assets

U kunt Azure Automation assets niet exporteren: certificaten, verbindingen, referenties, planningen en variabelen. In plaats daarvan kunt u de cmdlets Azure Portal en Azure gebruiken om de details van deze assets te noteren. Gebruik deze gegevens vervolgens om assets te maken die worden gebruikt door runbooks die u importeert in een ander Automation-account.

U kunt de waarden voor versleutelde variabelen of de wachtwoordvelden van referenties niet ophalen met behulp van cmdlets. Als u deze waarden niet weet, kunt u ze ophalen in een runbook. Zie Variabele activa in Azure Automation voor het ophalen van variabelewaarden. Zie Referentieassets in Azure Automation voor meer informatie over het ophalen van referentiewaarden.

DSC-configuraties

U kunt uw DSC-configuraties exporteren naar scriptbestanden met behulp van de Azure Portal of de cmdlet Export-AzAutomationDscConfiguration in Windows PowerShell. U kunt deze configuraties importeren en gebruiken in een ander Automation-account.

Geo-replicatie in Azure Automation

Geo-replicatie is standaard in Azure Automation-accounts. U kiest een primaire regio bij het instellen van uw account. De interne service voor geo-replicatie van Automation wijst automatisch een secundaire regio toe aan het account. De service maakt vervolgens continu een back-up van accountgegevens van de primaire regio naar de secundaire regio. De volledige lijst met primaire en secundaire regio's vindt u op Replicatie tussen regio's in Azure: Bedrijfscontinuïteit en herstel na noodgevallen.

De back-up die is gemaakt door de Service voor geo-replicatie van Automation is een volledige kopie van Automation-assets, configuraties en dergelijke. Deze back-up kan worden gebruikt als de primaire regio uitvalt en er gegevens verloren gaan. In het onwaarschijnlijke geval dat gegevens voor een primaire regio verloren gaan, probeert Microsoft deze te herstellen.

Notitie

Azure Automation slaat klantgegevens op in de regio die door de klant is geselecteerd. Voor het doel van BCDR worden voor alle regio's behalve Brazilië - zuid en Azië - zuidoost Azure Automation gegevens opgeslagen in een andere regio (gekoppelde Azure-regio). Alleen voor de regio Brazilië - zuid (staat Sao Paulo) in de geografie Brazilië en Zuidoost-Azië (Singapore) van de geografie Azië en Stille Oceaan slaan we Azure Automation gegevens op in dezelfde regio om te voldoen aan de vereisten voor gegevenslocatie voor deze regio's.

De Service voor geo-replicatie van Automation is niet rechtstreeks toegankelijk voor externe klanten als er een regionale fout optreedt. Als u de Automation-configuratie en runbooks wilt behouden tijdens regionale fouten:

  1. Selecteer een secundaire regio om te koppelen met de geografische regio van uw primaire Automation-account.

  2. Maak een Automation-account in de secundaire regio.

  3. Exporteer uw runbooks in het primaire account als scriptbestanden.

  4. Importeer de runbooks in uw Automation-account in de secundaire regio.

Volgende stappen