Azure Otomasyonu verilerinin yönetilmesi
Bu makale, verilerin Azure Otomasyonu bir ortamda nasıl korunduğunu ve güvenli hale getirilip korunduğunu açıklayan çeşitli konular içerir.
Azure Otomasyonu için TLS
Azure Otomasyonu aktarımdaki verilerin güvenliğini sağlamak için Aktarım Katmanı Güvenliği (TLS) kullanımını yapılandırmanızı kesinlikle öneririz. Aşağıda, OTOMASYON hizmetine HTTPS üzerinden iletişim kuran yöntemlerin veya istemcilerin listesi yer alıyor:
Web kancası çağrıları
Güncelleştirme Yönetimi ve Değişiklik İzleme ve Envanter tarafından yönetilen makineleri içeren Karma Runbook Çalışanları.
DSC düğümleri
TLS/Güvenli Yuva Katmanı'nın (SSL) eski sürümlerinin güvenlik açığı olduğu tespit edilmiştir ve geriye dönük uyumluluk sağlamak için çalışmaya devam ederken, bunlar önerilmez. TlS 1.3 gibi daha yeni daha güvenli protokolleri otomatik olarak algılamanıza ve bu protokollerden yararlanmanıza olanak sağlayan platform düzeyinde güvenlik özelliklerini bozadığından, aracınızı gerekli olmadığı sürece yalnızca TLS 1.2 kullanacak şekilde ayarlamanızı açıkça önermeyiz.
Karma Runbook Çalışanı rolü için bir bağımlılık olan Windows ve Linux için Log Analytics aracısı ile TLS desteği hakkında bilgi için bkz . Log Analytics aracısı genel bakış - TLS.
Karma Çalışanlar ve Web Kancası çağrıları için TLS protokollerini yükseltme
31 Ekim 2024'ten itibaren Aktarım Katmanı Güvenliği (TLS) 1.0 ve 1.1 protokollerini kullanan tüm aracı tabanlı ve uzantı tabanlı Kullanıcı Karma Runbook Çalışanları, Web Kancaları ve DSC düğümleri artık Azure Otomasyonu bağlanamayacaktır. TLS 1.0 ve 1.1 protokollerini kullanan Karma Çalışanlarda çalışan veya zamanlanan tüm işler başarısız olur.
Runbook'ları tetikleyen Web kancası çağrılarının TLS 1.2 veya üzeri sürümlerde gezindiğinden emin olun. Aracı ve Uzantı tabanlı çalışanların yalnızca TLS 1.2 ve üzeri protokollerde anlaşmaları için kayıt defteri değişiklikleri yaptığınızdan emin olun. Windows Karma Çalışanı'nda TLS 1.0/1.1 protokollerini devre dışı bırakma ve Windows makinesinde TLS 1.2 veya üzerini etkinleştirmeyi öğrenin.
Linux Karma Çalışanları için aşağıdaki Python betiğini çalıştırarak en son TLS protokolüne yükseltin.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Platforma özgü yönergeler
| Platform/Dil | Destek | Daha Fazla Bilgi |
|---|---|---|
| Linux | Linux dağıtımları TLS 1.2 desteği için OpenSSL'ye bağımlı olma eğilimindedir. | OpenSSL sürümünüzün desteklendiğinden emin olmak için OpenSSL Değişiklik Günlüğü'ne bakın. |
| Windows 8.0 - 10 | Desteklenir ve varsayılan olarak etkinleştirilir. | Hala varsayılan ayarları kullandığınızı onaylamak için. |
| Windows Server 2012 - 2016 | Desteklenir ve varsayılan olarak etkinleştirilir. | Hala varsayılan ayarları kullandığınızı onaylamak için |
| Windows 7 SP1 ve Windows Server 2008 R2 SP1 | Desteklenir, ancak varsayılan olarak etkinleştirilmez. | Etkinleştirme hakkında ayrıntılı bilgi için Aktarım Katmanı Güvenliği (TLS) kayıt defteri ayarları sayfasına bakın. |
Veri saklama
Azure Otomasyonu bir kaynağı sildiğinizde, kalıcı olarak kaldırılmadan önce bu kaynak denetim amacıyla günlerce saklanır. Bu süre boyunca kaynağı göremez veya kullanamazsınız. Bu ilke, silinmiş bir Otomasyon hesabına ait kaynaklar için de geçerlidir. Bekletme ilkesi tüm kullanıcılar için geçerlidir ve şu anda özelleştirilemiyor. Ancak verileri daha uzun süre saklamanız gerekiyorsa, Azure Otomasyonu iş verilerini Azure İzleyici günlüklerine iletebilirsiniz.
Aşağıdaki tabloda farklı kaynaklar için bekletme ilkesi özetlemektedir.
| Veri | İlke |
|---|---|
| Hesaplar | Bir hesap, kullanıcı sildikten 30 gün sonra kalıcı olarak kaldırılır. |
| Varlıklar | Bir varlık, bir kullanıcı sildikten 30 gün sonra veya bir kullanıcı varlığın bulunduğu hesabı sildikten 30 gün sonra kalıcı olarak kaldırılır. Varlıklar arasında değişkenler, zamanlamalar, kimlik bilgileri, sertifikalar, Python 2 paketleri ve bağlantılar bulunur. |
| DSC Düğümleri | DSC düğümü, Azure portalı veya Windows PowerShell'de Unregister-AzAutomationDscNode cmdlet'i kullanılarak Otomasyon hesabından kaydı kaldırıldıktan 30 gün sonra kalıcı olarak kaldırılır. Ayrıca bir düğüm, kullanıcı düğümü barındıran hesabı sildikten 30 gün sonra kalıcı olarak kaldırılır. |
| İşler | Bir iş silinir ve değişiklik yaptıktan 30 gün sonra (örneğin, iş tamamlandıktan, durdurulduktan veya askıya alındıktan sonra) kalıcı olarak kaldırılır. |
| Modül | Modül, kullanıcı sildikten 30 gün sonra veya kullanıcı modülü barındıran hesabı sildikten 30 gün sonra kalıcı olarak kaldırılır. |
| Düğüm Yapılandırmaları/MOF Dosyaları | Eski düğüm yapılandırması, yeni bir düğüm yapılandırması oluşturulduktan 30 gün sonra kalıcı olarak kaldırılır. |
| Düğüm Raporları | Düğüm raporu, bu düğüm için yeni bir rapor oluşturulduktan 90 gün sonra kalıcı olarak kaldırılır. |
| Runbook'lar | Bir runbook, kullanıcı kaynağı sildikten 30 gün sonra veya kullanıcı 1 kaynağınıiçeren hesabı sildikten 30 gün sonra kalıcı olarak kaldırılır. |
1Runbook, Microsoft Azure Desteği ile bir Azure desteği olayı dosyalanarak 30 günlük süre içinde kurtarılabilir. Azure desteği sitesine gidin ve Destek isteği gönder'i seçin.
Veri yedekleme
Azure'da bir Otomasyon hesabını sildiğinizde, hesaptaki tüm nesneler silinir. Nesneler runbook'ları, modülleri, yapılandırmaları, ayarları, işleri ve varlıkları içerir. Silinen otomasyon hesabını 30 gün içinde kurtarabilirsiniz. Otomasyon hesabınızın içeriğini silmeden önce yedeklemek için aşağıdaki bilgileri de kullanabilirsiniz:
Runbook'lar
Windows PowerShell'de Azure portalını veya Get-AzureAutomationRunbookDefinition cmdlet'ini kullanarak runbook'larınızı betik dosyalarına aktarabilirsiniz. Bu betik dosyalarını Azure Otomasyonu runbook'ları yönetme bölümünde açıklandığı gibi başka bir Otomasyon hesabına aktarabilirsiniz.
Tümleştirme modülleri
Tümleştirme modüllerini Azure Otomasyonu dışarı aktaramazsınız, otomasyon hesabının dışında kullanıma sunulmaları gerekir.
Varlıklar
Azure Otomasyonu varlıkları dışarı aktaramazsınız: sertifikalar, bağlantılar, kimlik bilgileri, zamanlamalar ve değişkenler. Bunun yerine, bu varlıkların ayrıntılarını not almak için Azure portalını ve Azure cmdlet'lerini kullanabilirsiniz. Ardından, başka bir Otomasyon hesabına aktardığınız runbook'lar tarafından kullanılan tüm varlıkları oluşturmak için bu ayrıntıları kullanın.
Cmdlet'leri kullanarak şifrelenmiş değişkenlerin veya kimlik bilgilerinin parola alanlarının değerlerini alamazsınız. Bu değerleri bilmiyorsanız, bunları bir runbook'ta alabilirsiniz. Değişken değerlerini almak için bkz. Azure Otomasyonu değişken varlıkları. Kimlik bilgisi değerlerini alma hakkında daha fazla bilgi edinmek için bkz. Azure Otomasyonu'de kimlik bilgileri varlıkları.
DSC yapılandırmaları
Windows PowerShell'de Azure portalını veya Export-AzAutomationDscConfiguration cmdlet'ini kullanarak DSC yapılandırmalarınızı betik dosyalarına aktarabilirsiniz. Bu yapılandırmaları başka bir Otomasyon hesabında içeri aktarabilir ve kullanabilirsiniz.
Veri yerleşimi
Azure Otomasyonu hesabı oluşturulurken bir bölge belirtirsiniz. Varlıklar, yapılandırma, günlükler gibi hizmet verileri bu bölgede depolanır ve aynı coğrafyadaki diğer bölgelerde aktarılabilir veya işlenebilir. Bu genel uç noktalar, son kullanıcılara konumdan bağımsız olarak yüksek performanslı, düşük gecikme süreli bir deneyim sunmak için gereklidir. Yalnızca Güney Brezilya (Sao Paulo State) bölgesi olan Brezilya coğrafyası, Güneydoğu Asya bölgesi (Singapur) ve Asya Pasifik coğrafyasının Doğu Asya bölgesi (Hongkong) için, bu bölgeler için veri yerleşimi gereksinimlerini karşılamak için Azure Otomasyonu verileri aynı bölgede depolarız.
Sonraki adımlar
- Güvenlik yönergeleri hakkında bilgi edinmek için bkz. Azure Otomasyonu'da en iyi güvenlik yöntemleri.
- Azure Otomasyonu'daki güvenli varlıklar hakkında daha fazla bilgi edinmek için bkz. Azure Otomasyonu'da güvenli varlıkları şifreleme.
- Coğrafi çoğaltma hakkında daha fazla bilgi edinmek için bkz . Etkin coğrafi çoğaltma oluşturma ve kullanma.