Aracılığıyla paylaş

Azure Otomasyonu'da en iyi güvenlik uygulamaları

Bu makalede, otomasyon işlerini güvenli bir şekilde yürütmek için en iyi yöntemler açıklanır. Azure Otomasyonu , görev açısından kritik işlemlerin yanı sıra sık, zaman alan, hataya açık altyapı yönetimi ve operasyonel görevleri düzenlemenizi sağlayan bir platform sağlar. Bu hizmet, otomasyon runbook'ları olarak bilinen betikleri bulut ve karma ortamlarda sorunsuz bir şekilde yürütmenizi sağlar.

Azure Otomasyonu Hizmeti'nin platform bileşenleri etkin bir şekilde güvenli ve sağlamlaştırılmıştır. Hizmet, sağlam güvenlik ve uyumluluk denetimlerini gerçekleştirir. Microsoft bulut güvenliği karşılaştırması, Azure'da iş yüklerinin, verilerin ve hizmetlerin güvenliğini iyileştirmeye yardımcı olacak en iyi yöntemleri ve önerileri ayrıntılarıyla açıklar. Ayrıca bkz. Azure Otomasyonu için Azure güvenlik temeli.

Otomasyon hesabının güvenli yapılandırması

Bu bölüm, Otomasyon hesabınızı güvenli bir şekilde yapılandırma konusunda size yol gösterir.

İzinler

  1. Otomasyon kaynaklarına erişim izni verirken işi yapmak için en az ayrıcalık ilkesini izleyin. Otomasyon ayrıntılı RBAC rollerini uygulayın ve abonelik düzeyi gibi daha geniş roller veya kapsamlar atamaktan kaçının. Özel rolleri oluştururken yalnızca kullanıcıların ihtiyaç duyduğu izinleri ekleyin. Rolleri ve kapsamları sınırlayarak, güvenlik sorumlusunun gizliliği ihlal edilirse risk altındaki kaynakları sınırlandırmış olursunuz. Rol tabanlı erişim denetimi kavramları hakkında ayrıntılı bilgi için bkz . Azure rol tabanlı erişim denetimi en iyi yöntemleri.

  2. Otomasyon kaynağına veya bir alt kaynağa tam erişim (örneğin *) anlamına gelen bir joker karaktere () sahip eylemler içeren rollerden kaçının. Bunun yerine, yalnızca gerekli izin için belirli eylemleri kullanın.

  3. Kullanıcı Otomasyon hesabındaki tüm runbook'lara erişim gerektirmiyorsa rol tabanlı erişimi runbook düzeyinde yapılandırın.

  4. Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için Otomasyon Katkıda Bulunanı gibi yüksek ayrıcalıklı rollerin sayısını sınırlayın.

  5. Raporlar ve uyarılar aracılığıyla kullanımlarına ilişkin görünürlüğünüzü artırmak için ayrıcalıklı hesapları kötü amaçlı siber saldırılara karşı korumak için Microsoft Entra Privileged Identity Management'ı kullanın.

Hibrit Runbook çalışan rolünün güvenliğini sağlama

  1. Log Analytics aracısı üzerinde herhangi bir bağımlılığı olmayan Karma Runbook Çalışanı VM uzantısını kullanarak Karma çalışanları yükleyin. Microsoft Entra Id tabanlı kimlik doğrulamadan yararlandığı için bu platformu öneririz. Azure Otomasyonu Karma Runbook Çalışanı özelliği, runbook'ları doğrudan Azure'da veya Azure dışındaki bir makinede rolü barındıran makinede çalıştırarak yerel ortamda Otomasyon işlerini yürütmenize olanak tanır.

    • Karma çalışanları ve karma grupları kaydetme veya kaydını kaldırma ve Karma runbook çalışan gruplarına karşı runbook'ları çalıştırma gibi işlemleri yönetmekle sorumlu kullanıcılar için yalnızca yüksek ayrıcalıklı kullanıcıları veya Karma çalışan özel rolleri kullanın.
    • Aynı kullanıcı, Hybrid Worker rolünü barındıran makinede VM katkıda bulunan erişimine de ihtiyaç duyabilir. VM katkıda bulunanı, yüksek ayrıcalıklı bir rol olduğundan, sadece sınırlı sayıda kullanıcının hibrit işleri yönetme erişimine sahip olduğundan emin olun; böylece güvenliği ihlal edilen bir sahip tarafından ihlal edilme olasılığı azalır.

    Azure RBAC en iyi yöntemlerini izleyin.

  2. En az ayrıcalık ilkesini izleyin ve Hibrit çalışana yönelik runbook'unu çalıştırması için kullanıcılara yalnızca gerekli izinleri verin. Karma runbook çalışanı rolünü barındıran makineye sınırsız izinler sağlamayın. Sınırsız erişim söz konusu olduğunda, VM Katkıda Bulunanı haklarına sahip olan veya karma çalışan makinesinde komut çalıştırma izinlerine sahip bir kullanıcı karma çalışan makinesinden Otomasyon Hesabı Farklı Çalıştır sertifikasını kullanabilir ve kötü amaçlı bir kullanıcının abonelik katkıda bulunanı olarak erişmesine izin verebilir. Bu, Azure ortamınızın güvenliğini tehlikeye atabilir. Hybrid runbook çalışanları ve Hybrid runbook çalışan gruplarına karşı Otomasyon runbook'larını yönetmekle sorumlu kullanıcılar için Karma çalışan özel rollerini kullanın.

  3. Kullanılmayan veya yanıt vermeyen karma çalışanların kaydını kaldırın.

  4. Etki alanı denetleyicisi barındıran bir Sanal makinede Karma Çalışanı uzantısını asla yapılandırmamanızı kesinlikle öneririz. Etki alanı denetleyicilerini Azure Otomasyonu işleri aracılığıyla olası saldırı vektörlerine maruz bırakarak yüksek riskli olması nedeniyle, güvenlikle ilgili en iyi yöntemler böyle bir kurulum önermez. Etki alanı denetleyicileri, yetkisiz erişimi önlemek ve Active Directory Etki Alanı Hizmetleri (ADDS) ortamının bütünlüğünü korumak için yüksek oranda güvenli olmalı ve temel olmayan hizmetlerden yalıtılmalıdır.

Kimlik doğrulama sertifikası ve kimlikler

  1. Runbook kimlik doğrulaması için Yönetilen kimlikler kullanmanızı öneriyoruz. Microsoft Entra Id'den yönetilen kimlik, runbook'unuzun Azure Key Vault gibi diğer Microsoft Entra korumalı kaynaklarına kolayca erişmesini sağlar. Kimlik Azure platformu tarafından yönetilir ve herhangi bir gizli anahtar sağlamanızı veya döndürmenizi gerektirmez. Azure Otomasyonu yönetilen kimlikler hakkında daha fazla bilgi için bkz. Azure Otomasyonu için yönetilen kimlikler

    İki tür yönetilen kimlik kullanarak Otomasyon hesabının kimliğini doğrulayabilirsiniz:

    • Sistem tarafından atanan kimlik uygulamanıza bağlıdır ve uygulamanız silinirse silinir. Bir uygulama sistem tarafından atanan yalnızca bir kimliğe sahip olabilir.
    • Kullanıcı tarafından atanan kimlik , uygulamanıza atanabilen tek başına bir Azure kaynağıdır. Bir uygulama için kullanıcı tarafından atanan birden çok kimlik olabilir.

    Daha fazla ayrıntı için Yönetilen kimlik en iyi yöntem önerilerini izleyin.

  2. Azure Otomasyonu tuşlarını düzenli aralıklarla döndürün. Anahtarların yeniden oluşturulması, gelecekteki DSC veya karma çalışan düğümü kayıtlarının önceki anahtarları kullanmasını engeller. Otomasyon anahtarları yerine Microsoft Entra kimlik doğrulamasını kullanan Uzantı tabanlı karma çalışanları kullanmanızı öneririz. Microsoft Entra ID, kimliklerin ve kaynak kimlik bilgilerinin denetimini ve yönetimini merkezileştirir.

Veri güvenliği

  1. Kimlik bilgileri, sertifikalar, bağlantılar ve şifrelenmiş değişkenler dahil olmak üzere Azure Otomasyonu varlıkların güvenliğini sağlayın. Bu varlıklar, birden çok şifreleme düzeyi kullanılarak Azure Automation'da korunmaktadır. Varsayılan olarak, veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Şifreleme anahtarları üzerinde ek denetim için Otomasyon varlıklarının şifrelenmesini sağlamak üzere müşteri tarafından yönetilen anahtarlar sağlayabilirsiniz. Anahtarlara erişebilmek için bu anahtarların Otomasyon hizmeti için Azure Key Vault'ta bulunması gerekir. Bkz . Müşteri tarafından yönetilen anahtarları kullanarak güvenli varlıkları şifreleme.

  2. İş çıktısında hiçbir kimlik bilgisi veya sertifika ayrıntısı yazdırmayın. Düşük ayrıcalıklı kullanıcı olan bir Otomasyon iş işleci hassas bilgileri görüntüleyebilir.

  3. Beklenmeyen bir olaydan sonra iş sürekliliğini korumak için yedeklerin doğrulandığından ve korunduğundan emin olmak amacıyla Otomasyon yapılandırmasının, runbook'lar ve varlıklar gibi, geçerli bir yedeğini koruyun.

Ağ yalıtımı

  1. Hibrit runbook çalışanlarını Azure Otomasyonu'na güvenli bir şekilde bağlamak için Azure Özel Bağlantı kullanın. Azure Özel Uç Noktası, sizi Özel Bağlantı ile desteklenen bir Azure Otomasyonu hizmetine özel ve güvenli bir şekilde bağlayan bir ağ arabirimidir. Özel Uç Nokta, Otomasyon hizmetini sanal ağınıza etkili bir şekilde getirmek için Sanal Ağ 'nizden (VNet) bir özel IP adresi kullanır.

İnternet'e giden bağlantı açmanıza gerek kalmadan Azure sanal ağından runbook'lar aracılığıyla diğer hizmetlere özel olarak erişmek ve bu hizmetleri yönetmek istiyorsanız, Azure sanal ağından bağlı bir Karma Çalışanı üzerinde runbook'ları yürütebilirsiniz.

Azure Otomasyonu için ilkeler

Azure Otomasyonu için Azure İlkesi önerilerini gözden geçirin ve uygun şekilde davranın. bkz. Azure Otomasyonu ilkeleri.

Sonraki adımlar

  • Azure rol tabanlı erişim denetimini (Azure RBAC) kullanmayı öğrenmek için bkz. Azure Otomasyonu rol izinlerini ve güvenliğini yönetme.
  • Azure'ın gizliliğinizi nasıl koruduğu ve verilerinizi nasıl güvence altına aldığı hakkında bilgi için bkz. Azure Otomasyonu veri güvenliği.
  • Otomasyon hesabını şifreleme kullanacak şekilde yapılandırma hakkında bilgi edinmek için bkz. Azure Otomasyonu'de güvenli varlıkları şifreleme.