管理 Azure 自動化資料
本文包含數個主題,說明如何在 Azure 自動化 環境中保護和保護數據。
TLS for Azure 自動化
為了確保傳輸至 Azure 自動化 的數據安全性,強烈建議您設定使用傳輸層安全性 (TLS)。 以下是透過 HTTPS 與自動化服務通訊的方法或用戶端清單:
Webhook 呼叫
混合式 Runbook 背景工作角色,包括更新管理和 變更追蹤和清查 所管理的計算機。
DSC 節點
較舊的 TLS/安全套接字層 (SSL) 版本被發現很脆弱,雖然它們目前仍可允許回溯相容性,但 不建議使用。 我們不建議明確將您的代理程式設定為只使用 TLS 1.2,除非其必要,因為它可以打破平臺層級安全性功能,讓您在有較新的更安全的通訊協定可供使用時自動偵測並利用較安全的通訊協定,例如 TLS 1.3。
如需適用於 Windows 和 Linux 之 Log Analytics 代理程式之 TLS 支援的相關信息,這是混合式 Runbook 背景工作角色的相依性,請參閱 Log Analytics 代理程式概觀 - TLS。
升級混合式背景工作角色和 Webhook 呼叫的 TLS 通訊協定
從 2024 年 10 月 31 日起,所有使用傳輸層安全性 (TLS) 1.0 和 1.1 通訊協定的代理程式和擴充功能型使用者混合式 Runbook 背景工作角色、Webhook 和 DSC 節點將無法再連線到 Azure 自動化。 使用 TLS 1.0 和 1.1 通訊協定在混合式背景工作角色上執行或排程的所有作業都會失敗。
確定觸發 Runbook 的 Webhook 呼叫會在 TLS 1.2 或更高版本上巡覽。 請務必進行登錄變更,讓 Agent 和 Extension 型背景工作角色只能在 TLS 1.2 和更高通訊協定上交涉。 瞭解如何 在 Windows 混合式背景工作角色上停用 TLS 1.0/1.1 通訊協定,並在 Windows 電腦上啟用 TLS 1.2 或更新版本 。
針對 Linux 混合式背景工作角色,請執行下列 Python 腳本,以升級至最新的 TLS 通訊協定。
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
平台專屬的指引
平台/語言 | 支援 | 相關資訊 |
---|---|---|
Linux | Linux 發行版本通常會依賴 OpenSSL 來取得 TLS 1.2 支援。 | 請檢查 OpenSSL 變更記錄來確認支援的 OpenSSL 版本。 |
Windows 8.0 - 10 | 支援且預設會啟用。 | 若要確認您仍在使用 預設設定。 |
Windows Server 2012 - 2016 | 支援且預設會啟用。 | 確認您仍在使用 預設設定 |
Windows 7 SP1 和 Windows Server 2008 R2 SP1 | 支援但預設不會啟用。 | 請參閱傳輸層安全性 (TLS) 登錄設定頁面,了解詳細的啟用方式。 |
資料保留
當您在 Azure 自動化 中刪除資源時,會在永久移除前保留數天,以供稽核之用。 您目前看不到或使用資源。 此原則也適用於屬於已刪除自動化帳戶的資源。 保留原則適用於所有使用者,目前無法自定義。 不過,如果您需要將數據保留較長的時間,您可以將 Azure 自動化 作業數據轉送至 Azure 監視器記錄。
下表摘要說明不同資源的保留原則。
資料 | 原則 |
---|---|
帳戶 | 在使用者刪除帳戶 30 天后,帳戶會永久移除。 |
資產 | 資產會在使用者刪除資產 30 天后永久移除,或在使用者刪除持有資產的帳戶 30 天后永久移除。 資產包括變數、排程、認證、憑證、Python 2 套件和連線。 |
DSC 節點 | 在 Windows PowerShell 中使用 Azure 入口網站 或 Unregister-AzAutomationDscNode Cmdlet 從自動化帳戶取消註冊之後,DSC 節點會永久移除 30 天。 在使用者刪除保留節點的帳戶之後,節點也會永久移除 30 天。 |
工作 | 修改後 30 天會刪除並永久移除作業,例如,在作業完成、停止或暫停之後。 |
模組 | 在使用者刪除模組後 30 天永久移除模組,或在使用者刪除保留模組的帳戶 30 天后永久移除模組。 |
節點組態/MOF 檔案 | 在產生新節點組態 30 天后,會永久移除舊的節點組態。 |
節點報表 | 節點報表會在為該節點產生新報告 90 天后永久移除。 |
Runbook | Runbook 會在使用者刪除資源 30 天后永久移除,或在使用者刪除保留資源1 的帳戶 30 天后永久移除。 |
1Runbook 可以在 30 天內復原,方法是向 Microsoft Azure 支援提出 Azure 支援 事件。 移至 Azure 支援 網站,然後選取 [提交支援要求]。
數據備份
當您在 Azure 中刪除自動化帳戶時,會刪除帳戶中的所有物件。 物件包括 Runbook、模組、組態、設定、作業和資產。 您可以在 30 天內復原 已刪除的自動化帳戶。 您也可以使用下列資訊來備份自動化帳戶的內容,然後再刪除它:
Runbook
您可以使用 Windows PowerShell 中的 Azure 入口網站 或 Get-AzureAutomationRunbookDefinition Cmdlet,將 Runbook 匯出至腳本檔案。 您可以將這些腳本檔案匯入另一個自動化帳戶,如管理 Azure 自動化 中的 Runbook 中所述。
整合模組
您無法從 Azure 自動化 匯出整合模組,它們必須在自動化帳戶之外提供。
資產
您無法匯出 Azure 自動化 資產:憑證、連線、認證、排程和變數。 相反地,您可以使用 Azure 入口網站 和 Azure Cmdlet 來記下這些資產的詳細數據。 然後使用這些詳細數據來建立您匯入另一個自動化帳戶的 Runbook 所使用的任何資產。
您無法使用 Cmdlet 擷取加密變數的值或認證的密碼欄位。 如果您不知道這些值,您可以在 Runbook 中擷取這些值。 如需擷取變數值,請參閱 Azure 自動化 中的變數資產。 若要深入瞭解如何擷取認證值,請參閱 Azure 自動化 中的認證資產。
DSC 設定
您可以使用 Azure 入口網站 Windows PowerShell 中的 export-AzAutomationDscConfiguration Cmdlet,將 DSC 組態導出至腳本檔案。 您可以在另一個自動化帳戶中匯入和使用這些組態。
資料落地
您可以在建立 Azure 自動化 帳戶期間指定區域。 資產、組態、記錄等服務數據會儲存在該區域中,而且可能會在相同地理位置內的其他區域中傳輸或處理。 無論位置為何,這些全域端點都需要為終端使用者提供高效能、低延遲的體驗。 只有巴西南部(聖保羅州)地區的巴西地理、東南亞區域(新加坡)和亞太地區地理區域(香港),我們才會將 Azure 自動化 數據儲存在相同的區域中,以容納這些區域的數據落地需求。
下一步
- 若要了解安全性指導方針,請參閱 Azure 自動化的安全性最佳做法。
- 若要深入瞭解 Azure 自動化 中的安全資產,請參閱加密 Azure 自動化 中的安全資產。
- 若要深入瞭解異地複寫,請參閱 建立和使用主動式異地複寫。