Базовый план безопасности Azure для службы автоматизации
Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 к автоматизации. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в тесте производительности облачной безопасности Майкрософт, и соответствующем руководстве, применимом к автоматизации.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если функция имеет релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание
Функции , неприменимые к автоматизации, были исключены. Чтобы узнать, как автоматизация полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см . полный файл сопоставления базовых показателей безопасности службы автоматизации.
Профиль безопасности
Профиль безопасности обобщает поведение службы автоматизации с высоким уровнем влияния, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | MGMT/Governance |
| Клиент может получить доступ к HOST или ОС | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Разверните службу в виртуальной сети. Назначьте частные IP-адреса ресурсу (если применимо). Это рекомендуемая конфигурация с точки зрения безопасности; Однако для этого необходимо настроить гибридную рабочую роль Runbook, подключенную к виртуальной сети Azure, & в настоящее время не поддерживает облачные задания.
Сеть для служба автоматизации Azure
Справочник. Использование Приватный канал Azure для безопасного подключения сетей к служба автоматизации Azure
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации ip-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Разверните частные конечные точки для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы создать частную точку доступа для ресурсов.
Справочник. Использование Приватный канал Azure для безопасного подключения сетей к служба автоматизации Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации ACL ip-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях: служба служба автоматизации Azure поддерживает отключение доступа к общедоступной сети с помощью встроенной Политика Azure или с помощью командлета PowerShell — установка флагов доступа к общедоступной сети
Руководство по настройке. Отключите доступ к общедоступной сети с помощью командлета PowerShell или переключателя для доступа к общедоступной сети.
Справка. Учетные записи службы автоматизации должны отключать доступ к общедоступной сети
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Пользовательская гибридная рабочая роль Runbook на основе расширений (версия 2) служба автоматизации Azure используется для запуска модулей Runbook непосредственно на компьютере Azure или на компьютере, отличном от Azure, через серверы, зарегистрированные на серверах с поддержкой Azure Arc, использует проверку подлинности Azure AD.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Общие сведения о проверке подлинности учетной записи служба автоматизации Azure
Локальные методы проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях: служба служба автоматизации Azure поддерживает локальный метод проверки подлинности на основе сертификатов для доступа к плоскости данных через windows на основе агента (версия 1) или гибридную рабочую роль Runbook Linux, однако этот подход не рекомендуется использовать для подключения гибридных рабочих ролей. Рекомендуется использовать метод установки гибридной рабочей роли Runbook на основе расширений (версия 2). Избегайте использования локальных методов проверки подлинности или учетных записей. Их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Ограничьте использование локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Отключение локальной проверки подлинности в службе автоматизации
Справка. Развертывание гибридной рабочей роли Runbook Windows на основе агента в службе автоматизации
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Системное управляемое удостоверение создается по умолчанию, если учетная запись создается с помощью портала, но не по умолчанию, если учетная запись создается с помощью API или командлета. Можно также включить после создания учетной записи.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Управляемые удостоверения
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Безопасные ресурсы в служба автоматизации Azure включают учетные данные, сертификаты, подключения и зашифрованные переменные. Эти ресурсы шифруются и сохраняются в службе автоматизации Azure с использованием уникального ключа, который создается для каждой учетной записи службы автоматизации. Служба автоматизации Azure хранит ключ в управляемой системой службе Azure Key Vault. Перед сохранением защищенного ресурса служба автоматизации Azure загружает ключ из Key Vault, а затем использует его для шифрования ресурса.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справка. Управление учетными данными в служба автоматизации Azure
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Автоматизация интегрируется с Azure RBAC для управления ресурсами. С помощью RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов предварительно определены встроенные роли. Вы можете выполнять инвентаризацию этих ролей или запрашивать их с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Управление разрешениями и безопасностью ролей в служба автоматизации Azure
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Защищенное хранилище не реализовано для служба автоматизации Azure , вместо этого служба служба автоматизации Azure шифрует скрипт Runbook и конфигурацию DSC с помощью ключей, управляемых клиентом, перед сохранением в базе данных SQL, делая ресурсы автоматизации зашифрованными.
/en-us/azure/automation/whats-new-archive#added-capability-to-keep-automation-runbooks-and-dsc-scripts-encrypted-by-default
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Шифрование данных при передаче
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. TLS 1.2 для служба автоматизации Azure
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Защита ресурсов в служба автоматизации Azure включает учетные данные, сертификаты, подключения и зашифрованные переменные. Для защиты этих ресурсов в службе автоматизации Azure используется несколько уровней шифрования. По умолчанию учетная запись службы автоматизации Azure использует ключи, управляемые Майкрософт.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Ключи, управляемые корпорацией Майкрософт
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Automation.
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
Справка. Шифрование защищенных ресурсов в служба автоматизации Azure
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. служба автоматизации Azure не поддерживает интеграцию с Key Vault изначально для хранения пользовательских секретов, используемых их модулями Runbook службы автоматизации, однако они могут получить доступ к Key Vault с помощью командлетов Key Vault из кода runbook службы автоматизации.
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и вашей службе по определенному расписанию или при прекращении или компрометации ключа. Если необходимо использовать ключ, управляемый клиентом (CMK), на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы соблюдаете рекомендации по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно использовать собственный ключ (BYOK) в службе (например, импортировать ключи, защищенные HSM, из локальных модулей HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
DP-7: безопасное управление сертификатами
Компоненты
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Защита ресурсов в служба автоматизации Azure включает учетные данные, сертификаты, подключения и зашифрованные переменные. Эти ресурсы шифруются и сохраняются в службе автоматизации Azure с использованием уникального ключа, который создается для каждой учетной записи службы автоматизации. Служба автоматизации Azure хранит ключ в управляемой системой службе Azure Key Vault. Перед сохранением защищенного ресурса служба автоматизации Azure загружает ключ из Key Vault, а затем использует его для шифрования ресурса.
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом сертификата, включая создание, импорт, смену, отзыв, хранение и очистку сертификата. Убедитесь, что создание сертификата соответствует определенным стандартам без использования каких-либо небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасное шифрование. Настройте автоматическую смену сертификата в azure Key Vault и службе Azure (если поддерживается) на основе определенного расписания или при истечении срока действия сертификата. Если автоматическая смена не поддерживается в приложении, убедитесь, что они по-прежнему сменяются с помощью ручных методов в Azure Key Vault и приложении.
Справочник. Управление сертификатами в служба автоматизации Azure
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Политика Azure встроенные определения для служба автоматизации Azure
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для услуг и предложений продуктов
Описание. В службе есть специальное решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях: служба автоматизации Azure может отправлять состояние задания Runbook и потоки заданий в рабочую область Log Analytics. Журналы заданий и потоки заданий отображаются в портал Azure или с помощью PowerShell для отдельных заданий.
Руководство по настройке. Включите журналы ресурсов для службы. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure. Служба автоматизации Azure может отправлять состояние задания runbook и потоки заданий в рабочую область Log Analytics. Журналы заданий и потоки заданий отображаются в портал Azure или с помощью PowerShell для отдельных заданий.
Справка. Пересылка журналов диагностики служба автоматизации Azure в Azure Monitor
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Эталон безопасности облака Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. резервное копирование служба автоматизации Azure с помощью Azure Backup не поддерживается. Ответственность за сохранение действительной резервной копии конфигурации службы автоматизации, например рабочих книг и ресурсов, лежит на вас.
Используйте Azure Resource Manager для развертывания учетной записи службы автоматизации Azure и связанных ресурсов. Вы можете экспортировать шаблоны Azure Resource Manager, чтобы использовать их в качестве резервных копий для восстановления учетных записей службы автоматизации и связанных ресурсов. Используйте службу автоматизации для регулярного вызова API-интерфейса экспорта шаблонов Azure Resource Manager.
Чтобы настроить эту функцию, выполните инструкции (Резервное копирование данных службы автоматизации) [/azure/automation/automation-management-data#data-backup]. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности. Вы также можете использовать руководство по настройке (аварийное восстановление)[/azure/automation/automation-disaster-recovery?tabs=win-hrw%2Cps-script%2Coption-one] для учетных записей службы автоматизации.
Вы также можете использовать возможность интеграции системы управления версиями, чтобы поддерживать модули Runbook в учетной записи службы автоматизации в актуальном состоянии, используя сценарии в репозитории системы управления версиями.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность резервного копирования в собственном коде службы
Описание: служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях: служба автоматизации Azure не предоставляет собственный механизм резервного копирования. Ответственность за сохранение действительной резервной копии конфигурации службы автоматизации, например рабочих книг и ресурсов, лежит на вас.
Используйте Azure Resource Manager для развертывания учетной записи службы автоматизации Azure и связанных ресурсов. Вы можете экспортировать шаблоны Azure Resource Manager, чтобы использовать их в качестве резервных копий для восстановления учетных записей службы автоматизации и связанных ресурсов. Используйте службу автоматизации для регулярного вызова API-интерфейса экспорта шаблонов Azure Resource Manager.
Вы также можете использовать возможность интеграции системы управления версиями, чтобы поддерживать модули Runbook в учетной записи службы автоматизации в актуальном состоянии, используя сценарии в репозитории системы управления версиями.
Резервное копирование данных службы автоматизации
Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности. Вы также можете воспользоваться рекомендациями по настройке аварийного восстановления для учетных записей службы автоматизации.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.