Dela via

Metodtips för säkerhet i Azure Automation

  • Artikel

Viktigt!

Azure Automation Kör som-konton, inklusive klassiska Kör som-konton, har dragits tillbaka den 30 september 2023 och ersatts med hanterade identiteter. Du skulle inte längre kunna skapa eller förnya Kör som-konton via Azure-portalen. Mer information finns i Migrera från ett befintligt Kör som-konto till hanterad identitet.

Den här artikeln beskriver metodtipsen för att på ett säkert sätt köra automationsjobben. Azure Automation ger dig plattformen för att samordna frekventa, tidskrävande, felbenägna infrastrukturhanterings- och driftuppgifter samt verksamhetskritiska åtgärder. Med den här tjänsten kan du köra skript, så kallade automationsrunbooks sömlöst i moln- och hybridmiljöer.

Plattformskomponenterna i Azure Automation Service är aktivt skyddade och härdade. Tjänsten genomgår robusta säkerhets- och efterlevnadskontroller. Microsofts prestandamått för molnsäkerhet beskriver bästa praxis och rekommendationer för att förbättra säkerheten för arbetsbelastningar, data och tjänster i Azure. Se även Azure-säkerhetsbaslinje för Azure Automation.

Säker konfiguration av Automation-konto

Det här avsnittet beskriver hur du konfigurerar ditt Automation-konto på ett säkert sätt.

Behörigheter

  1. Följ principen om lägsta behörighet för att få jobbet gjort när du beviljar åtkomst till Automation-resurser. Implementera Detaljerade RBAC-roller för Automation och undvik att tilldela bredare roller eller omfång, till exempel prenumerationsnivå. När du skapar anpassade roller tar du bara med de behörigheter som användarna behöver. Genom att begränsa roller och omfång begränsar du de resurser som är i riskzonen om säkerhetsobjektet någonsin komprometteras. Detaljerad information om rollbaserade begrepp för åtkomstkontroll finns i Metodtips för rollbaserad åtkomstkontroll i Azure.

  2. Undvik roller som innehåller Åtgärder som har ett jokertecken (*) eftersom det innebär fullständig åtkomst till Automation-resursen eller en underresurs, till exempel automationaccounts/*/read. Använd i stället endast specifika åtgärder för den behörighet som krävs.

  3. Konfigurera rollbaserad åtkomst på runbook-nivå om användaren inte behöver åtkomst till alla runbooks i Automation-kontot.

  4. Begränsa antalet mycket privilegierade roller, till exempel Automation-deltagare, för att minska risken för intrång av en komprometterad ägare.

  5. Använd Microsoft Entra Privileged Identity Management för att skydda de privilegierade kontona från skadliga cyberattacker för att öka din insyn i deras användning via rapporter och aviseringar.

Skydda Hybrid Runbook Worker-rollen

  1. Installera hybridarbetare med hjälp av tillägget för den virtuella Hybrid Runbook Worker-datorn som inte har något beroende av Log Analytics-agenten. Vi rekommenderar den här plattformen eftersom den utnyttjar Microsoft Entra ID-baserad autentisering. Med funktionen Hybrid Runbook Worker i Azure Automation kan du köra runbooks direkt på den dator som är värd för rollen i Azure eller en annan dator än Azure för att köra Automation-jobb i den lokala miljön.

    • Använd endast anpassade roller för högprivilegier eller hybridarbetare för användare som ansvarar för att hantera åtgärder, till exempel registrering eller avregistrering av hybridarbetare och hybridgrupper och körning av runbooks mot Hybrid Runbook Worker-grupper.
    • Samma användare skulle också kräva åtkomst till VM-deltagare på den dator som är värd för Hybrid Worker-rollen. Eftersom den virtuella datordeltagaren är en roll med hög behörighet ser du till att endast en begränsad rätt uppsättning användare har åtkomst till att hantera Hybrid-arbeten, vilket minskar risken för intrång av en komprometterad ägare.

    Följ metodtipsen för Azure RBAC.

  2. Följ principen om lägsta behörighet och bevilja endast de behörigheter som krävs till användare för runbook-körning mot en Hybrid Worker. Ge inte obegränsade behörigheter till den dator som är värd för hybrid-runbook-arbetsrollen. Vid obegränsad åtkomst kan en användare med behörighet som deltagare i den virtuella datorn eller som har behörighet att köra kommandon mot hybrid worker-datorn använda Automation-kontots Kör som-certifikat från hybrid worker-datorn och eventuellt tillåta skadlig användaråtkomst som prenumerationsdeltagare. Detta kan äventyra säkerheten i din Azure-miljö. Använd anpassade Hybrid Worker-roller för användare som ansvarar för att hantera Automation-runbooks mot Hybrid Runbook-arbetare och Hybrid Runbook Worker-grupper.

  3. Avregistrera oanvända eller icke-dynamiska hybridarbetare.

Autentiseringscertifikat och identiteter

  1. För Runbook-autentisering rekommenderar vi att du använder hanterade identiteter i stället för Kör som-konton. Kör som-konton är ett administrativt omkostnader och vi planerar att föråldra dem. Med en hanterad identitet från Microsoft Entra-ID kan din runbook enkelt komma åt andra Microsoft Entra-skyddade resurser, till exempel Azure Key Vault. Identiteten hanteras av Azure-plattformen och kräver inte att du etablerar eller roterar några hemligheter. Mer information om hanterade identiteter i Azure Automation finns i Hanterade identiteter för Azure Automation

    Du kan autentisera ett Automation-konto med två typer av hanterade identiteter:

    • Systemtilldelad identitet är kopplad till ditt program och tas bort om appen tas bort. En app kan bara ha en systemtilldelad identitet.
    • Användartilldelad identitet är en fristående Azure-resurs som kan tilldelas till din app. En app kan ha flera användartilldelade identiteter.

    Följ rekommendationerna för bästa praxis för hanterad identitet för mer information.

  2. Rotera Azure Automation-nycklarna med jämna mellanrum. Nyckelregenereringen hindrar framtida DSC- eller hybrid worker-nodregistreringar från att använda tidigare nycklar. Vi rekommenderar att du använder tilläggsbaserade hybridarbetare som använder Microsoft Entra-autentisering i stället för Automation-nycklar. Microsoft Entra ID centraliserar kontrollen och hanteringen av identiteter och resursautentiseringsuppgifter.

Datasäkerhet

  1. Skydda tillgångarna i Azure Automation, inklusive autentiseringsuppgifter, certifikat, anslutningar och krypterade variabler. Dessa tillgångar skyddas i Azure Automation med hjälp av flera krypteringsnivåer. Som standard krypteras data med Microsoft-hanterade nycklar. Om du vill ha ytterligare kontroll över krypteringsnycklar kan du ange kundhanterade nycklar som ska användas för kryptering av Automation-tillgångar. Dessa nycklar måste finnas i Azure Key Vault för Automation-tjänsten för att kunna komma åt nycklarna. Se Kryptering av säkra tillgångar med hjälp av kundhanterade nycklar.

  2. Skriv inte ut några autentiseringsuppgifter eller certifikatinformation i jobbutdata. En Automation-jobboperator som är användare med låg behörighet kan visa känslig information.

  3. Upprätthålla en giltig säkerhetskopia av Automation-konfiguration som runbooks och tillgångar som säkerställer att säkerhetskopior verifieras och skyddas för att upprätthålla affärskontinuitet efter en oväntad händelse.

Nätverksisolering

  1. Använd Azure Private Link för att på ett säkert sätt ansluta Hybrid Runbook-arbetare till Azure Automation. Azure Private Endpoint är ett nätverksgränssnitt som ansluter dig privat och säkert till en Azure Automation-tjänst som drivs av Azure Private Link. Privat slutpunkt använder en privat IP-adress från ditt virtuella nätverk (VNet) för att effektivt föra in Automation-tjänsten i ditt virtuella nätverk.

Om du vill komma åt och hantera andra tjänster privat via runbooks från virtuella Azure-nätverk utan att behöva öppna en utgående anslutning till Internet kan du köra runbooks på en Hybrid Worker som är ansluten till det virtuella Azure-nätverket.

Principer för Azure Automation

Granska Azure Policy-rekommendationerna för Azure Automation och agera efter behov. Se Azure Automation-principer.

Nästa steg