共用方式為

管理 Azure 自動化資料

  • 發行項

本文包含數個主題,說明如何在 Azure 自動化環境中保護資料及維護資料安全。

適用於 Azure 自動化的 TLS

為了確保資料傳送至 Azure 自動化時的安全性,強烈建議您設定為使用傳輸層安全性 (TLS)。 以下清單是透過 HTTPS 與自動化服務通訊的方法或用戶端:

  • Webhook 呼叫

  • 使用者混合式 Runbook 背景工作角色 (延伸模組和代理程式型)

  • 由 Azure 自動化更新管理和 Azure 自動化變更追蹤和清查所管理的電腦

  • Azure Automation DSC 節點

我們已發現較舊版本的 TLS/安全通訊端層 (SSL) 較易受到攻擊,而且在其目前的運作中仍允許回溯相容性,因此並不建議使用這些版本。 除非有必要,否則我們不建議將代理程式明確地設定為只使用 TLS 1.2,因為這樣可能會中斷平台層級的安全性功能,此功能可在更安全的較新通訊協定 (例如 TLS 1.3) 推出時,自動偵測並加以運用。

如需使用適用於 Windows 和 Linux 的 Log Analytics 代理程式的 TLS 支援 (為混合式 Runbook 背景工作角色的相依性) 相關資訊,請參閱 Log Analytics 代理程式概觀 - TLS

升級混合式背景工作角色和 Webhook 呼叫的 TLS 通訊協定

2024 年 10 月 31 日開始,所有使用傳輸層安全性 (TLS) 1.0 和 1.1 通訊協定的代理程式型和延伸模組型使用者混合式 Runbook 背景工作角色、Webhook、DSC 節點和 Azure 自動化更新管理和變更追蹤受控機器,將無法再連線到 Azure 自動化。 使用 TLS 1.0 和 1.1 通訊協定在混合式背景工作角色上執行或排程的所有作業都會失敗。

確定觸發 Runbook 的 Webhook 呼叫會在 TLS 1.2 或更高版本上瀏覽。 了解如何在 Windows 混合式背景工作角色上停用 TLS 1.0/1.1 通訊協定,並在 Windows 電腦上啟用 TLS 1.2 或更新版本

針對 Linux 混合式背景工作角色,請執行下列 Python 指令碼,以升級至最新的 TLS 通訊協定。

import os

# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"

# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
    openssl_conf = f.read()

# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
    # Update the default TLS version to TLS 1.2
    openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")

    # Open the configuration file for writing and write the updated version
    with open(openssl_conf_path, "w") as f:
        f.write(openssl_conf)

    # Restart any services that use OpenSSL to ensure that the new settings are applied
    os.system("systemctl restart apache2")
    print("Default TLS version has been updated to TLS 1.2.")
else:
    # Add the default TLS version to the configuration file
    openssl_conf += """
    Options = PrioritizeChaCha,EnableMiddleboxCompat
    CipherString = DEFAULT@SECLEVEL:TLSv1.2
    MinProtocol = TLSv1.2
    """

    # Open the configuration file for writing and write the updated version
    with open(openssl_conf_path, "w") as f:
        f.write(openssl_conf)

    # Restart any services that use OpenSSL to ensure that the new settings are applied
    os.system("systemctl restart apache2")
    print("Default TLS version has been added as TLS 1.2.")

平台專屬的指引

平台/語言 支援 相關資訊
Linux Linux 發行版本通常會依賴 OpenSSL 來取得 TLS 1.2 支援。 請檢查 OpenSSL 變更記錄來確認支援的 OpenSSL 版本。
Windows 8.0 - 10 支援且預設會啟用。 請確認您仍在使用預設設定
Windows Server 2012 - 2016 支援且預設會啟用。 請確認您仍在使用預設設定
Windows 7 SP1 和 Windows Server 2008 R2 SP1 支援但預設不會啟用。 請參閱傳輸層安全性 (TLS) 登錄設定頁面,了解詳細的啟用方式。

資料保留

當您刪除 Azure 自動化中的資源時,會在永久移除該資源之前,將其保留數天做為稽核用途。 在這段期間將無法看到或使用該資源。 此原則也適用於屬於已刪除自動化帳戶的資源。 保留原則適用於所有使用者,且目前無法自訂。 不過,如果需要將資料保留較長的時間,則可將 Azure 自動化工作資料轉送至 Azure 監視器記錄

下表摘要說明不同的資源的保留原則。

資料 原則
帳戶 帳戶會在使用者刪除的 30 天後永久移除。
資產 資產會在使用者刪除該資產,或刪除持有該資產的帳戶 30 天後永久移除。 資產包括變數、排程、認證、憑證、Python 2 套件和連線。
DSC 節點 當使用 Azure 入口網站或在 Windows PowerShell 中使用 Unregister-AzAutomationDscNode Cmdlet 從自動化帳戶取消註冊 DSC 節點後,該節點會在此動作的 30 天後永久移除。 節點也會在使用者刪除持有該節點的帳戶 30 天後永久移除。
工作 工作會在經過修改 (例如工作完成、停止或暫停) 的 30 天後刪除並永久移除。
模組 模組會在使用者刪除該模組,或刪除持有該模組的帳戶 30 天後永久移除。
節點組態/MOF 檔案 舊節點設定會在新節點設定產生的 30 天後永久移除。
節點報告 節點產生新的報告之後,舊節點報告會於 90 天後永久移除。
Runbook Runbook 會在使用者刪除資源,或刪除持有該資源的帳戶 30 天後永久移除1

1可向 Microsoft Azure 支援服務提出 Azure 支援事件,以在 30 天內復原 Runbook。 請移至 Azure 支援網站,然後選取 [提交支援要求]

資料備份

當在 Azure 中刪除自動化帳戶時,也會刪除帳戶中的所有物件。 這些物件包括 Runbook、模組、組態、設定、工作和資產。 您可以在 30 天內復原已刪除的自動化帳戶。 您也可使用下列資訊,在刪除之前備份自動化帳戶的內容:

Runbook

您可以使用 Azure 入口網站或 Windows PowerShell 中的 Get-AzureAutomationRunbookDefinitionCmdlet,將您的 Runbook 匯出為指令碼檔案。 您可將這些指令碼檔案匯入至另一個自動化帳戶,如在 Azure 自動化中管理 Runbook 所述。

整合模組

您無法從 Azure 自動化匯出整合模組,必須在自動化帳戶之外才能提供這些模組。

資產

您無法匯出 Azure 自動化資產:憑證、連線、認證、排程和變數。 相反地,您可使用 Azure 入口網站和 Azure Cmdlet 來記錄這些資產的詳細資料, 然後使用這些詳細資料,為所匯入至另一個自動化帳戶的 Runbook,建立要供其使用的任何資產。

您無法使用 Cmdlet 擷取加密變數或認證密碼欄位的值。 如果不知道這些值,則可在 Runbook 中加以擷取。 如需擷取變數值,請參閱 Azure 自動化中的變數資產。 若要深入了解如何擷取認證值的詳細資訊,請參閱 Azure 自動化中的認證資產

DSC 設定

您可使用 Azure 入口網站或 Windows PowerShell 中的 Export-AzAutomationDscConfiguration Cmdlet,將 DSC 設定匯出為指令碼檔案。 您可匯入至另一個自動化帳戶中來使用這些設定。

資料落地

在建立 Azure 自動化帳戶期間指定區域。 資產、設定、記錄等服務資料會儲存在該區域中,且可能會在相同地理位置內的其他區域中進行傳輸或處理。 這些全域端點無論位置為何,都可為使用者提供高效能、低延遲的體驗。 僅在巴西地理位置的巴西南部 (聖保羅州) 區域、亞太地區地理位置的東南亞區域 (新加坡) 以及東亞區域 (香港),我們會將 Azure 自動化資料儲存在相同的區域中,以因應這些區域的資料落地需求。

下一步