Metodtips för säkerhet i Azure Automation

Viktigt

Azure Automation Kör som-konto tas bort den 30 september 2023 och ersätts med hanterade identiteter. Innan det datumet måste du börja migrera dina runbooks för att använda hanterade identiteter. Mer information finns i Migrera från ett befintligt Kör som-konton till hanterad identitet för att börja migrera runbooks från Kör som-kontot till hanterade identiteter före den 30 september 2023.

Den här artikeln beskriver metodtipsen för att köra automatiseringsjobben på ett säkert sätt. Azure Automation ger dig plattformen för att samordna frekventa, tidskrävande, felbenägna infrastrukturhanterings- och driftuppgifter samt verksamhetskritiska åtgärder. Med den här tjänsten kan du köra skript, så kallade automations-runbooks sömlöst i moln- och hybridmiljöer.

Plattformskomponenterna i Azure Automation Service är aktivt skyddade och härdade. Tjänsten genomgår robusta säkerhets- och efterlevnadskontroller. Microsofts prestandamått för molnsäkerhet beskriver metodtips och rekommendationer för att förbättra säkerheten för arbetsbelastningar, data och tjänster i Azure. Se även Azures säkerhetsbaslinje för Azure Automation.

Säker konfiguration av Automation-konto

Det här avsnittet beskriver hur du konfigurerar ditt Automation-konto på ett säkert sätt.

Behörigheter

  1. Följ principen om lägsta behörighet för att få jobbet gjort när du beviljar åtkomst till Automation-resurser. Implementera Detaljerade RBAC-roller för Automation och undvik att tilldela bredare roller eller omfång, till exempel prenumerationsnivå. När du skapar anpassade roller tar du bara med de behörigheter som användarna behöver. Genom att begränsa roller och omfång begränsar du de resurser som är i riskzonen om säkerhetsobjektet någonsin komprometteras. Detaljerad information om rollbaserade begrepp för åtkomstkontroll finns i Metodtips för rollbaserad åtkomstkontroll i Azure.

  2. Undvik roller som inkluderar Åtgärder med jokertecken (*) eftersom det innebär fullständig åtkomst till Automation-resursen eller en underresurs, till exempel automationaccounts/*/read. Använd i stället endast specifika åtgärder för den behörighet som krävs.

  3. Konfigurera rollbaserad åtkomst på runbook-nivå om användaren inte behöver åtkomst till alla runbooks i Automation-kontot.

  4. Begränsa antalet mycket privilegierade roller, till exempel Automation-deltagare, för att minska risken för intrång av en komprometterad ägare.

  5. Använd Azure AD Privileged Identity Management för att skydda de privilegierade kontona från skadliga cyberattacker för att öka din insyn i deras användning via rapporter och aviseringar.

Skydda Rollen Hybrid Runbook Worker

  1. Installera hybridarbetare med hjälp av tillägget hybrid runbook worker vm, som inte har något beroende av Log Analytics-agenten. Vi rekommenderar den här plattformen eftersom den utnyttjar Azure AD baserad autentisering. Med funktionen Hybrid Runbook Worker i Azure Automation kan du köra runbooks direkt på den dator som är värd för rollen i Azure- eller icke-Azure-datorn för att köra Automation-jobb i den lokala miljön.

    • Använd endast användare med hög behörighet eller anpassade Hybrid Worker-roller för användare som ansvarar för att hantera åtgärder som att registrera eller avregistrera hybridarbetare och hybridgrupper och köra runbooks mot Hybrid Runbook Worker-grupper.
    • Samma användare skulle också kräva åtkomst till VM-deltagare på den dator som är värd för Hybrid Worker-rollen. Eftersom den virtuella datordeltagaren är en roll med hög behörighet ser du till att endast en begränsad rätt uppsättning användare har åtkomst till att hantera Hybrid-arbeten, vilket minskar risken för intrång av en komprometterad ägare.

    Följ metodtipsen för Azure RBAC.

  2. Följ principen om lägsta behörighet och bevilja endast de behörigheter som krävs till användare för runbook-körning mot en Hybrid Worker. Ge inte obegränsade behörigheter till den dator som är värd för hybrid-runbook-arbetsrollen. Om åtkomsten är obegränsad kan en användare med behörighet som deltagare i den virtuella datorn eller som har behörighet att köra kommandon mot hybrid worker-datorn använda Automation-kontots Kör som-certifikat från hybrid worker-datorn och potentiellt tillåta skadlig användaråtkomst som prenumerationsdeltagare. Detta kan äventyra säkerheten i din Azure-miljö. Använd anpassade Hybrid Worker-roller för användare som ansvarar för att hantera Automation-runbooks mot Hybrid Runbook-arbetare och Hybrid Runbook Worker-grupper.

  3. Avregistrera alla oanvända eller icke-dynamiska hybridarbetare.

Autentiseringscertifikat och identiteter

  1. För runbook-autentisering rekommenderar vi att du använder hanterade identiteter i stället för Kör som-konton. Kör som-kontona är en administrativ omkostnad och vi planerar att föråldrade dem. Med en hanterad identitet från Azure Active Directory (Azure AD) kan din runbook enkelt komma åt andra Azure AD skyddade resurser som Azure Key Vault. Identiteten hanteras av Azure-plattformen och kräver inte att du etablerar eller roterar några hemligheter. Mer information om hanterade identiteter i Azure Automation finns i Hanterade identiteter för Azure Automation

    Du kan autentisera ett Automation-konto med två typer av hanterade identiteter:

    • Systemtilldelad identitet är kopplad till ditt program och tas bort om appen tas bort. En app kan bara ha en systemtilldelad identitet.
    • Användartilldelad identitet är en fristående Azure-resurs som kan tilldelas till din app. En app kan ha flera användartilldelade identiteter.

    Följ rekommendationerna för bästa praxis för hanterad identitet för mer information.

  2. Om du använder Kör som-konton som autentiseringsmekanism för dina runbooks kontrollerar du följande:

    • Spåra tjänstens huvudnamn i inventeringen. Tjänstens huvudnamn har ofta utökade behörigheter.
    • Ta bort alla oanvända Kör som-konton för att minimera din exponerade attackyta.
    • Förnya Kör som-certifikatet med jämna mellanrum.
    • Följ RBAC-riktlinjerna för att begränsa de behörigheter som tilldelats till Kör som-kontot med det här skriptet. Tilldela inte behörigheter med hög behörighet som deltagare, ägare och så vidare.
  3. Rotera Azure Automation nycklar med jämna mellanrum. Nyckelregenereringen förhindrar att framtida DSC- eller hybrid worker-nodregistreringar använder tidigare nycklar. Vi rekommenderar att du använder tilläggsbaserade hybridarbetare som använder Azure AD-autentisering i stället för Automation-nycklar. Azure AD centraliserar kontrollen och hanteringen av identiteter och resursautentiseringsuppgifter.

Datasäkerhet

  1. Skydda tillgångarna i Azure Automation inklusive autentiseringsuppgifter, certifikat, anslutningar och krypterade variabler. Dessa tillgångar skyddas i Azure Automation med hjälp av flera krypteringsnivåer. Som standard krypteras data med Microsoft-hanterade nycklar. Om du vill ha ytterligare kontroll över krypteringsnycklar kan du ange kundhanterade nycklar som ska användas för kryptering av Automation-tillgångar. Dessa nycklar måste finnas i Azure Key Vault för att Automation-tjänsten ska kunna komma åt nycklarna. Se Kryptering av säkra tillgångar med hjälp av kundhanterade nycklar.

  2. Skriv inte ut några autentiseringsuppgifter eller certifikatinformation i jobbutdata. En Automation-jobboperator som är användare med låg behörighet kan visa känslig information.

  3. Upprätthålla en giltig säkerhetskopia av Automation-konfiguration som runbooks och tillgångar som säkerställer att säkerhetskopior verifieras och skyddas för att upprätthålla affärskontinuitet efter en oväntad händelse.

Nätverksisolering

  1. Använd Azure Private Link för att på ett säkert sätt ansluta Hybrid Runbook-arbetare till Azure Automation. Azure Private Endpoint är ett nätverksgränssnitt som ansluter dig privat och säkert till en Azure Automation tjänst som drivs av Azure Private Link. Privat slutpunkt använder en privat IP-adress från din Virtual Network (VNet) för att effektivt föra Automation-tjänsten till ditt virtuella nätverk.

Om du vill komma åt och hantera andra tjänster privat via runbooks från virtuella Azure-nätverk utan att behöva öppna en utgående anslutning till Internet kan du köra runbooks på en Hybrid Worker som är ansluten till det virtuella Azure-nätverket.

Principer för Azure Automation

Granska Azure Policy rekommendationer för Azure Automation och agera efter behov. Se Azure Automation principer.

Nästa steg