Linha de base de segurança do Azure para Automatização
Esta linha de base de segurança aplica orientações da versão de referência de segurança de cloud da Microsoft 1.0 à Automatização. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis à Automatização.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis à Automatização foram excluídas. Para ver como a Automatização mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança de Automatização.
Perfil de segurança
O perfil de segurança resume comportamentos de elevado impacto da Automatização, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | MGMT/Governação |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Verdadeiro |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente o serviço numa rede virtual. Atribua IPs privados ao recurso (quando aplicável). Esta é a configuração recomendada do ponto de vista de segurança; No entanto, isto requer que configure a Função de Trabalho de Runbook Híbrida ligada a uma rede virtual do Azure & atualmente não suporta tarefas na cloud.
Rede para Automatização do Azure
Referência: utilize Azure Private Link para ligar redes de forma segura a Automatização do Azure
NS-2: Proteger os serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.
Referência: utilize Azure Private Link para ligar redes de forma segura a Automatização do Azure
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Automatização do Azure serviço suporta a desativação do acesso à rede pública através de um Azure Policy incorporado ou também pode utilizar o cmdlet do PowerShell – Definir sinalizadores de acesso à rede pública
Orientação de Configuração: desative o acesso à rede pública através do cmdlet do PowerShell ou de um comutador de alternância para acesso à rede pública.
Referência: as contas de automatização devem desativar o acesso à rede pública
Gestão de identidades
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.
IM-1: utilizar a identidade centralizada e o sistema de autenticação
Funcionalidades
Azure AD Autenticação Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: funcionalidade de Função de Trabalho de Runbook Híbrida do utilizador (v2) baseada em extensões de Automatização do Azure utilizada para executar runbooks diretamente num computador do Azure ou não Azure através de servidores registados com servidores compatíveis com o Azure Arc utiliza Azure AD autenticação.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: descrição geral da autenticação da conta Automatização do Azure
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Automatização do Azure serviço suporta o método de autenticação local baseado em certificados para o acesso ao plano de dados através de janelas baseadas em agentes (v1) ou da função de trabalho de runbook híbrida do Linux, no entanto, esta não é a abordagem recomendada para integrar funções de trabalho híbridas. Utilize o método de instalação da função de trabalho de runbook híbrida (v2) baseada em extensões como abordagem recomendada. Evite a utilização de contas ou métodos de autenticação locais. Estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: restrinja a utilização de métodos de autenticação local para acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como método de autenticação predefinido para controlar o acesso ao plano de dados.
Desativar a autenticação local na Automatização
Referência: Implementar uma Função de Trabalho de Runbook Híbrida do Windows baseada em agente na Automatização
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: a Identidade Gerida do Sistema é criada por predefinição se a Conta for criada através do portal, mas não por predefinição se a conta for criada através da API/cmdlet. Também pode ser ativada após a criação da conta.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Identidades geridas
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: os recursos seguros no Automatização do Azure incluem credenciais, certificados, ligações e variáveis encriptadas. Estes recursos são encriptados e armazenados na Automatização através de uma chave exclusiva gerada para cada conta de Automatização. A automatização armazena a chave no serviço de Key Vault gerido pelo sistema. Antes de armazenar um recurso seguro, a Automatização carrega a chave de Key Vault e, em seguida, utiliza-a para encriptar o recurso.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Gerir credenciais no Automatização do Azure
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: a automatização integra-se com o RBAC do Azure para gerir os respetivos recursos. Com o RBAC, gere o acesso a recursos do Azure através de atribuições de funções. Pode atribuir funções a utilizadores, grupos, principais de serviço e identidades geridas. Determinados recursos têm funções predefinidas e incorporadas. Pode inventariar ou consultar estas funções através de ferramentas como a CLI do Azure, Azure PowerShell ou o portal do Azure.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Gerir permissões de função e segurança no Automatização do Azure
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: o Lockbox não está implementado para Automatização do Azure , em vez Automatização do Azure serviço encripta o script runbook e a configuração do DSC com chaves geridas pelo cliente antes de armazenar na base de dados SQL, tornando os recursos de automatização encriptados.
/en-us/azure/automation/whats-new-archive#added-capability-to-keep-automation-runbooks-and-dsc-scripts-encrypted-by-default
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: TLS 1.2 para Automatização do Azure
DP-4: Ativar a encriptação inativa por predefinição
Funcionalidades
Dados na Encriptação Rest Com Chaves de Plataforma
Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: os recursos seguros no Automatização do Azure incluem credenciais, certificados, ligações e variáveis encriptadas. Estes recursos estão protegidos em Automatização do Azure através de vários níveis de encriptação. Por predefinição, a sua conta Automatização do Azure utiliza chaves geridas pela Microsoft.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Chaves geridas pela Microsoft
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Automation:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As variáveis da conta de automatização devem ser encriptadas | É importante ativar a encriptação de recursos variáveis da conta de Automatização ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.
Referência: Encriptação de recursos seguros no Automatização do Azure
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Automatização do Azure não suporta a integração com Key Vault nativamente para armazenar os segredos personalizados utilizados pelos runbooks de Automatização. No entanto, podem aceder a Key Vault com os cmdlets Key Vault a partir do código do runbook de Automatização.
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os recursos seguros no Automatização do Azure incluem credenciais, certificados, ligações e variáveis encriptadas. Estes recursos são encriptados e armazenados na Automatização com uma chave exclusiva que é gerada para cada conta de Automatização. A automatização armazena a chave no serviço de Key Vault gerido pelo sistema. Antes de armazenar um recurso seguro, a Automatização carrega a chave do Key Vault e, em seguida, utiliza-a para encriptar o recurso.
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade demasiado longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base numa agenda definida ou quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que ainda são rodadas com métodos manuais no Azure Key Vault e na aplicação.
Referência: Gerir certificados no Automatização do Azure
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Azure Policy definições incorporadas para Automatização do Azure
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender para Oferta de Serviço/Produto
Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Automatização do Azure pode enviar o estado da tarefa de runbook e os fluxos de trabalhos para a área de trabalho do Log Analytics. Os registos de tarefas e os fluxos de trabalhos são visíveis no portal do Azure ou com o PowerShell para tarefas individuais.
Orientação de Configuração: ative os registos de recursos para o serviço. O conteúdo dos registos de recursos varia de acordo com o tipo de serviço e recurso do Azure. Automatização do Azure pode enviar o estado da tarefa de runbook e os fluxos de tarefas para a área de trabalho do Log Analytics. Os registos de tarefas e os fluxos de trabalhos são visíveis no portal do Azure ou com o PowerShell para tarefas individuais.
Referência: Reencaminhar Automatização do Azure registos de diagnóstico para o Azure Monitor
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: Automatização do Azure cópia de segurança através de Azure Backup não é suportada. É da sua responsabilidade garantir que mantém uma cópia de segurança válida da configuração da Automatização, como runbooks e recursos.
Pode utilizar o Azure Resource Manager para implementar contas de Automatização e recursos relacionados. Pode exportar modelos de Resource Manager do Azure para utilizar como cópias de segurança para restaurar contas de Automatização e recursos relacionados. Utilize a Automatização para chamar regularmente a API de exportação de modelos do Azure Resource Manager.
Siga (Cópia de Segurança de Dados de Automatização) [/azure/automation/automation-managing-data#data-backup] para esta configuração de funcionalidade. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança. Também pode tirar partido da documentação de orientação sobre como configurar (Recuperação após desastre)[/azure/automatização/automation-disaster-recovery?tabs=win-hrw%2Cps-script%2Coption-one] para contas de Automatização.
Também pode utilizar a funcionalidade de integração do controlo de origem para manter os runbooks na conta de Automatização atualizados com scripts no repositório de controlo de origem.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: Automatização do Azure não fornece um mecanismo de cópia de segurança nativo. É da sua responsabilidade garantir que mantém uma cópia de segurança válida da configuração da Automatização, como runbooks e recursos.
Pode utilizar o Azure Resource Manager para implementar contas de Automatização e recursos relacionados. Pode exportar modelos de Resource Manager do Azure para utilizar como cópias de segurança para restaurar contas de Automatização e recursos relacionados. Utilize a Automatização para chamar regularmente a API de exportação de modelos do Azure Resource Manager.
Também pode utilizar a funcionalidade de integração do controlo de origem para manter os runbooks na conta de Automatização atualizados com scripts no repositório de controlo de origem.
Cópia de Segurança de Dados de Automatização
Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança. Também pode tirar partido da documentação de orientação sobre como configurar a Recuperação após desastre para contas de Automatização.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Passos seguintes
- Veja a Descrição geral da referência de segurança na cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure