Best practices voor beveiliging in Azure Automation

Belangrijk

Azure Automation Uitvoeren als-accounts, waaronder klassieke Uitvoeren als-accounts, zijn op 30 september 2023 buiten gebruik gesteld en vervangen door beheerde identiteiten. U kunt Uitvoeren als-accounts niet meer maken of vernieuwen via Azure Portal. Raadpleeg Migratie van een bestaand Run As-account naar beheerde identiteit voor meer informatie.

In dit artikel worden de aanbevolen procedures beschreven om de automatiseringstaken veilig uit te voeren. Azure Automation biedt u het platform voor het organiseren van frequente, tijdrovende, foutgevoelige infrastructuurbeheer en operationele taken, evenals bedrijfskritieke bewerkingen. Met deze service kunt u scripts uitvoeren, ook wel automation-runbooks genoemd, naadloos in cloud- en hybride omgevingen.

De platformonderdelen van Azure Automation Service worden actief beveiligd en beveiligd. De service doorloopt robuuste beveiligings- en nalevingscontroles. de Microsoft Cloud Security-benchmark bevat de aanbevolen procedures en aanbevelingen om de beveiliging van workloads, gegevens en services in Azure te verbeteren. Zie ook de Azure-beveiligingsbasislijn voor Azure Automation.

Beveiligde configuratie van Automation-account

In deze sectie wordt u begeleid bij het veilig configureren van uw Automation-account.

Bevoegdheden

1. Volg het principe van minimale bevoegdheden om het werk gedaan te krijgen bij het verlenen van toegang tot Automation-resources. Implementeer gedetailleerde RBAC-rollen van Automation en vermijd het toewijzen van bredere rollen of bereiken, zoals abonnementsniveau. Neem bij het maken van de aangepaste rollen alleen de machtigingen op die gebruikers nodig hebben. Door rollen en bereiken te beperken, beperkt u de resources die risico lopen als de beveiligingsprincipaal ooit wordt aangetast. Zie de best practices voor op rollen gebaseerd toegangsbeheer in Azure voor gedetailleerde informatie over op rollen gebaseerd toegangsbeheer.

2. Vermijd rollen met acties met een jokerteken (*) omdat dit volledige toegang tot de Automation-resource of een subresource impliceert, bijvoorbeeld automationaccounts/*/read. Gebruik in plaats daarvan alleen specifieke acties voor de vereiste machtiging.

3. Configureer op rollen gebaseerd toegangsniveau op runbookniveau als de gebruiker geen toegang nodig heeft tot alle runbooks in het Automation-account.

4. Beperk het aantal rollen met hoge bevoegdheden, zoals Automation-inzender, om het risico op inbreuk door een geïnfecteerde eigenaar te verminderen.

5. Gebruik Microsoft Entra Privileged Identity Management om de bevoegde accounts te beschermen tegen schadelijke cyberaanvallen om uw zichtbaarheid te vergroten in het gebruik ervan via rapporten en waarschuwingen.

Hybrid Runbook Worker-rol beveiligen

1. Installeer Hybrid Workers met behulp van de Hybrid Runbook Worker VM-extensie, die geen afhankelijkheid heeft van de Log Analytics-agent. We raden dit platform aan omdat het gebruikmaakt van verificatie op basis van Microsoft Entra ID. Met de functie Hybrid Runbook Worker van Azure Automation kunt u runbooks rechtstreeks uitvoeren op de computer die als host fungeert voor de rol in Azure of niet-Azure-machines om Automation-taken uit te voeren in de lokale omgeving.

   • Gebruik alleen gebruikers met hoge bevoegdheden of aangepaste rollen voor hybride werkrollen voor gebruikers die verantwoordelijk zijn voor het beheren van bewerkingen, zoals het registreren of de registratie van Hybride werknemers en hybride groepen ongedaan maken en runbooks uitvoeren op Hybrid Runbook Worker-groepen.
   • Dezelfde gebruiker vereist ook toegang tot vm-inzenders op de machine die als host fungeert voor de rol Hybrid Worker. Omdat de VM-inzender een rol met hoge bevoegdheden is, moet u ervoor zorgen dat slechts een beperkte juiste set gebruikers toegang heeft tot het beheren van hybride werken, waardoor het risico op inbreuk door een geïnfecteerde eigenaar wordt verminderd.

   Volg de best practices voor Azure RBAC.

2. Volg het principe van minimale bevoegdheden en verwijs alleen de vereiste machtigingen aan gebruikers voor uitvoering van runbooks tegen een Hybrid Worker. Geef geen onbeperkte machtigingen op voor de computer die als host fungeert voor de hybrid runbook worker-rol. In het geval van onbeperkte toegang kan een gebruiker met inzenderrechten voor VM's of machtigingen hebben om opdrachten uit te voeren op de hybrid worker-machine het Uitvoeren als-certificaat van het Automation-account van de hybrid worker-machine gebruiken en mogelijk schadelijke gebruikerstoegang toestaan als inzender voor abonnementen. Dit kan de beveiliging van uw Azure-omgeving in gevaar brengen. Gebruik aangepaste rollen voor Hybrid Worker voor gebruikers die verantwoordelijk zijn voor het beheren van Automation-runbooks voor Hybrid Runbook Workers en Hybrid Runbook Worker-groepen.

3. Registratie van ongebruikte of niet-responsieve hybride werknemers ongedaan maken.

Verificatiecertificaat en identiteiten

1. Voor runbookverificatie raden we u aan beheerde identiteiten te gebruiken in plaats van Uitvoeren als-accounts. De Uitvoeren als-accounts zijn een administratieve overhead en we zijn van plan ze te verwijderen. Met een beheerde identiteit van Microsoft Entra ID heeft uw runbook eenvoudig toegang tot andere met Microsoft Entra beveiligde resources, zoals Azure Key Vault. De identiteit wordt beheerd door het Azure-platform en u hoeft geen geheimen in te richten of te draaien. Zie Beheerde identiteiten voor Azure Automation voor meer informatie over beheerde identiteiten in Azure Automation

   U kunt een Automation-account verifiëren met behulp van twee typen beheerde identiteiten:

   • Door het systeem toegewezen identiteit is gekoppeld aan uw toepassing en wordt verwijderd als uw app wordt verwijderd. Een app kan slechts één door het systeem toegewezen identiteit hebben.
   • Door de gebruiker toegewezen identiteit is een zelfstandige Azure-resource die kan worden toegewezen aan uw app. Een app kan meerdere door de gebruiker toegewezen identiteiten hebben.

   Volg de best practice-aanbevelingen voor beheerde identiteiten voor meer informatie.

2. Draai de Azure Automation-sleutels periodiek. De sleutelregeneratie voorkomt dat toekomstige DSC- of hybrid worker-knooppuntregistraties eerdere sleutels gebruiken. U wordt aangeraden de hybride werknemers op basis van extensies te gebruiken die gebruikmaken van Microsoft Entra-verificatie in plaats van Automation-sleutels. Microsoft Entra ID centraliseert het beheer en beheer van identiteiten en resourcereferenties.

Gegevensbeveiliging

1. Beveilig de assets in Azure Automation, inclusief referenties, certificaten, verbindingen en versleutelde variabelen. Deze assets worden beveiligd in Azure Automation met behulp van meerdere versleutelingsniveaus. Standaard worden gegevens versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u door de klant beheerde sleutels opgeven voor versleuteling van Automation-assets. Deze sleutels moeten aanwezig zijn in Azure Key Vault voor automation-service om toegang te krijgen tot de sleutels. Zie Versleuteling van beveiligde assets met door de klant beheerde sleutels.

2. Druk geen referenties of certificaatgegevens af in de taakuitvoer. Een Automation-taakoperator die de gebruiker met lage bevoegdheden is, kan de gevoelige informatie bekijken.

3. Behoud een geldige back-up van Automation-configuratie , zoals runbooks en assets, zodat back-ups worden gevalideerd en beveiligd om de bedrijfscontinuïteit na een onverwachte gebeurtenis te behouden.

Netwerkisolatie

1. Gebruik Azure Private Link om hybrid runbook workers veilig te verbinden met Azure Automation. Azure Private Endpoint is een netwerkinterface die u privé en veilig verbindt met een Azure Automation-service die wordt mogelijk gemaakt door Azure Private Link. Privé-eindpunt maakt gebruik van een privé-IP-adres van uw virtuele netwerk (VNet) om de Automation-service effectief in uw VNet te brengen.

Als u andere services privé wilt openen en beheren via runbooks van Azure VNet zonder dat u een uitgaande verbinding met internet hoeft te openen, kunt u runbooks uitvoeren op een Hybrid Worker die is verbonden met het Azure-VNet.

Beleid voor Azure Automation

Bekijk de aanbevelingen van Azure Policy voor Azure Automation en werk indien nodig. Zie Azure Automation-beleid.

Volgende stappen

• Zie Rolmachtigingen en beveiliging beheren in Azure Automation voor meer informatie over het gebruik van op rollen gebaseerd toegangsbeheer (Azure RBAC).
• Zie Azure Automation-gegevensbeveiliging voor informatie over hoe Azure uw privacy beschermt en uw gegevens beveiligt.
• Zie Versleuteling van beveiligde assets in Azure Automation voor meer informatie over het configureren van het Automation-account voor het gebruik van versleuteling.