Azure-säkerhetsbaslinje för Automation
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 till Automation. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Automation.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte är tillämpliga för Automation har exkluderats. Om du vill se hur Automation helt mappar till Microsofts benchmark för molnsäkerhet kan du läsa den fullständiga mappningsfilen för Automations säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar funktioner med hög påverkan i Automation, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | MGMT/Styrning |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-1: Upprätta nätverkssegmenteringsgränser
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Tilldela privata IP-adresser till resursen (om tillämpligt). Det här är den rekommenderade konfigurationen ur säkerhetssynpunkt. Detta kräver dock att du konfigurerar Hybrid Runbook Worker som är anslutet till ett virtuellt Azure-nätverk & för närvarande inte stöder molnjobb.
Referens: Använd Azure Private Link för att ansluta nätverk till Azure Automation på ett säkert sätt
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.
Referens: Använd Azure Private Link för att ansluta nätverk till Azure Automation på ett säkert sätt
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentligt nätverk antingen via filtreringsregeln IP ACL på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Azure Automation-tjänsten stöder inaktivering av åtkomst till offentligt nätverk antingen via en inbyggd Azure Policy eller så kan du använda PowerShell-cmdleten också – Ange åtkomstflaggor för offentligt nätverk
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med powershell-cmdleten eller en växlingsväxel för åtkomst till offentligt nätverk.
Referens: Automation-konton bör inaktivera åtkomst till offentligt nätverk
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för åtkomst till dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Tilläggsbaserad (v2)-användare Hybrid Runbook Worker-funktion i Azure Automation som används för att köra runbooks direkt på en Azure- eller icke-Azure-dator via servrar som registrerats med Azure Arc-aktiverade servrar använder Azure AD autentisering.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: översikt över Azure Automation kontoautentisering
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Azure Automation-tjänsten har stöd för certifikatbaserad lokal autentiseringsmetod för dataplansåtkomst via agentbaserade (v1) fönster eller Linux Hybrid Runbook Worker, men detta är inte den rekommenderade metoden för att publicera hybridarbetare. Använd tilläggsbaserad (v2) hybrid Runbook Worker-installationsmetod som rekommenderad metod. Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Begränsa användningen av lokala autentiseringsmetoder för dataplansåtkomst. Använd i stället Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
Inaktivera lokal autentisering i Automation
Referens: Distribuera en agentbaserad Windows Hybrid Runbook Worker i Automation
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Systemhanterad identitet skapas som standard om kontot skapas via portalen, men inte som standard om kontot skapas via API/cmdlet. Kan också aktiveras när du skapar ett konto.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Hanterade identiteter
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Säkra tillgångar i Azure Automation innehåller autentiseringsuppgifter, certifikat, anslutningar och krypterade variabler. Dessa tillgångar krypteras och lagras i Automation med hjälp av en unik nyckel som genereras för varje Automation-konto. Automation lagrar nyckeln i den systemhanterade Key Vault-tjänsten. Innan du lagrar en säker tillgång läser Automation in nyckeln från Key Vault och använder den sedan för att kryptera tillgången.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Hantera autentiseringsuppgifter i Azure Automation
Privilegierad åtkomst
Mer information finns i Microsofts benchmark för molnsäkerhet: Privilegierad åtkomst.
PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)
Funktioner
Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Automation integreras med Azure RBAC för att hantera dess resurser. Med RBAC hanterar du Åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Vissa resurser har fördefinierade, inbyggda roller. Du kan inventera eller fråga dessa roller via verktyg som Azure CLI, Azure PowerShell eller Azure Portal.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Hantera rollbehörigheter och säkerhet i Azure Automation
PA-8: Fastställa åtkomstprocess för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Lockbox implementeras inte för Azure Automation , i stället krypterar Azure Automation-tjänsten Runbook-skript och DSC-konfiguration med kundhanterade nycklar innan de lagras i SQL-databasen, vilket gör automatiseringsresurserna krypterade.
/en-us/azure/automation/whats-new-archive#added-capability-to-keep-automation-runbooks-and-dsc-scripts-encrypted-by-default
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data under överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: TLS 1.2 för Azure Automation
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Kryptering av vilande data med plattformsnycklar
Beskrivning: Kryptering av vilande data med plattformsnycklar stöds. Allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Säkra tillgångar i Azure Automation innehåller autentiseringsuppgifter, certifikat, anslutningar och krypterade variabler. Dessa tillgångar skyddas i Azure Automation med hjälp av flera krypteringsnivåer. Som standard använder ditt Azure Automation-konto Microsoft-hanterade nycklar.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Microsoft-hanterade nycklar
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Automation:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av automationskontovariabeltillgångar vid lagring av känsliga data | Granska, neka, inaktiverad | 1.1.0 |
DP-5: Använd alternativet kundhanterad nyckel i vilodatakryptering vid behov
Funktioner
Vilande datakryptering med CMK
Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfall och tjänstomfång där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Referens: Kryptering av säkra tillgångar i Azure Automation
DP-6: Använd en säker nyckelhanteringsprocess
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Azure Automation stöder inte integrering med Key Vault internt för att lagra anpassade hemligheter som används av deras Automation-runbooks, men de kan komma åt Key Vault med hjälp av Key Vault-cmdletar inifrån Automation-runbookkoden.
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå bör du följa metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Kontrollera att nycklarna är registrerade med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault integrering för alla kundcertifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Säkra tillgångar i Azure Automation innehåller autentiseringsuppgifter, certifikat, anslutningar och krypterade variabler. Dessa tillgångar krypteras och lagras i Automation med hjälp av en unik nyckel som genereras för varje Automation-konto. Automation lagrar nyckeln i den systemhanterade Key Vault-tjänsten. Innan du lagrar en säker tillgång läser Automation in nyckeln från Key Vault och använder den sedan för att kryptera tillgången.
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera certifikatets livscykel, inklusive att skapa, importera, rotera, återkalla, lagra och rensa certifikatet. Se till att certifikatgenereringen följer definierade standarder utan att använda några osäkra egenskaper, till exempel: otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi. Konfigurera automatisk rotation av certifikatet i Azure Key Vault och Azure-tjänsten (om det stöds) baserat på ett definierat schema eller när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i programmet kontrollerar du att de fortfarande roteras med manuella metoder i Azure Key Vault och programmet.
Referens: Hantera certifikat i Azure Automation
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Azure Policy inbyggda definitioner för Azure Automation
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för övervakning och avisering om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Azure Automation kan skicka runbook-jobbstatus och jobbströmmar till Log Analytics-arbetsytan. Jobbloggar och jobbströmmar visas i Azure Portal eller med PowerShell för enskilda jobb.
Konfigurationsvägledning: Aktivera resursloggar för tjänsten. Innehållet i resursloggarna varierar beroende på tjänst- och resurstyp i Azure. Azure Automation kan skicka runbook-jobbstatus och jobbströmmar till Log Analytics-arbetsytan. Jobbloggar och jobbströmmar visas i Azure Portal eller med PowerShell för enskilda jobb.
Referens: Vidarebefordra Azure Automation diagnostikloggar till Azure Monitor
Säkerhetskopiering och återställning
Mer information finns i Microsoft Cloud Security Benchmark: Säkerhetskopiering och återställning.
BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Azure Automation säkerhetskopiering via Azure Backup stöds inte. Det är ditt ansvar att se till att du behåller en giltig säkerhetskopia av Automation-konfigurationen, till exempel runbooks och tillgångar.
Du kan använda Azure Resource Manager för att distribuera Automation-konton och relaterade resurser. Du kan exportera Azure Resource Manager mallar som ska användas som säkerhetskopior för att återställa Automation-konton och relaterade resurser. Använd Automation för att anropa Export-API:et för Azure Resource Manager-mall regelbundet.
Följ (Automation Data Backup) [/azure/automation/automation-managing-data#data-backup] för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen. Du kan också använda vägledningen för att konfigurera (haveriberedskap)[/azure/automation/automation-disaster-recovery?tabs=win-hrw%2Cps-script%2Coption-one] för Automation-konton.
Du kan också använda funktionen för källkontrollintegrering för att hålla runbooks i Automation-kontot uppdaterade med skript på lagringsplatsen för källkontroll.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Funktion för inbyggd säkerhetskopiering av tjänsten
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Azure Automation tillhandahåller ingen intern säkerhetskopieringsmekanism. Det är ditt ansvar att se till att du behåller en giltig säkerhetskopia av Automation-konfigurationen, till exempel runbooks och tillgångar.
Du kan använda Azure Resource Manager för att distribuera Automation-konton och relaterade resurser. Du kan exportera Azure Resource Manager mallar som ska användas som säkerhetskopior för att återställa Automation-konton och relaterade resurser. Använd Automation för att anropa Export-API:et för Azure Resource Manager-mall regelbundet.
Du kan också använda funktionen för källkontrollintegrering för att hålla runbooks i Automation-kontot uppdaterade med skript på lagringsplatsen för källkontroll.
Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen. Du kan också använda vägledningen för att konfigurera haveriberedskap för Automation-konton.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.