Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны рекомендации по безопасному выполнению заданий автоматизации. Служба автоматизации Azure предоставляет платформу для оркестрации частых, трудоемких и подверженных ошибкам задач по управлению инфраструктурой и операциями, а также критически важных операций. Эта служба позволяет беспрепятственно выполнять сценарии, известные как руководства автоматизации, в облачных и гибридных средах.
Компоненты платформы службы автоматизации Azure активно защищаются и укрепляются. Служба проходит надежные проверки безопасности и соответствия требованиям. Облачный стандарт безопасности Microsoft подробно описывает лучшие практики и рекомендации по повышению безопасности рабочих нагрузок, данных и служб в Azure. Также см базовые показатели безопасности Azure для службы автоматизации Azure.
Безопасная конфигурация учетной записи службы автоматизации
В этом разделе описано, как безопасно настроить учетную запись службы автоматизации.
Разрешения
Следуйте принципу наименьших привилегий, чтобы выполнить работу при предоставлении доступа к ресурсам службы автоматизации. Реализуйте градуированные роли RBAC автоматизации и избегайте назначения более общих ролей или областей, таких как уровень подписки. При создании пользовательских ролей включите только необходимые пользователям разрешения. Ограничивая роли и области, вы ограничиваете ресурсы, которые подвергаются риску, если субъект безопасности когда-либо скомпрометирован. Подробные сведения о концепциях управления доступом на основе ролей можно найти в рекомендациях по управлению доступом на основе ролей в Azure.
Избегайте ролей, включающих действия с подстановочным знаком (*), поскольку они подразумевают полный доступ к ресурсу автоматизации или подресурсу, например automationaccounts/*/read. Вместо этого используйте определенные действия только для требуемого разрешения.
Настройте доступ на основе ролей на уровне runbook, если пользователю не требуется доступ ко всем модулям Runbook в учетной записи службы автоматизации.
Ограничить количество высоко привилегированных ролей, таких как участник службы автоматизации, чтобы уменьшить вероятность нарушения скомпрометированным владельцем.
Используйте Microsoft Entra управление привилегированными пользователями для защиты привилегированных учетных записей от вредоносных кибератак, чтобы повысить видимость их использования с помощью отчетов и оповещений.
Защита гибридной рабочей роли Runbook
Установите гибридные рабочие узлы с помощью расширения виртуальной машины рабочего узла Runbook, которое не зависит от агента Log Analytics. Мы рекомендуем эту платформу, так как она использует проверку подлинности на основе идентификатора Microsoft Entra. Гибридная функция рабочего процесса Azure Automation позволяет выполнять рабочие процессы непосредственно на компьютере, размещающем роль в Azure, или на компьютере, не связанном с Azure, для выполнения заданий автоматизации в локальной среде.
- Используйте только пользователей с высокими привилегиями или пользовательские роли гибридных рабочих для пользователей, ответственных за управление такими операциями, как регистрация или разрегистрация гибридных рабочих и гибридных групп, и выполнение рабочих процессов Runbook для групп гибридных рабочих Runbook.
- Для того же пользователя также потребуется доступ участника виртуальной машины на компьютере, на котором размещена гибридная рабочая роль. Так как вкладчик виртуальной машины является ролью с высоким уровнем привилегий, убедитесь, что доступ к управлению гибридными рабочими процессами имеют только ограниченное число пользователей, тем самым снижая риск утечек из-за компрометации владельца.
Следуйте рекомендациям Azure RBAC.
Следуйте принципу минимальных привилегий и предоставьте пользователям разрешения только на необходимые действия для выполнения блокнота сценариев на гибридном рабочем узле. Не предоставляйте неограниченные разрешения на компьютер, на котором размещена гибридная рабочая роль Runbook. В случае неограниченного доступа пользователь с правами участника виртуальной машины (VM) или имеющий разрешения на выполнение команд на гибридной рабочей машине может использовать сертификат "Запуск от имени" учетной записи автоматизации с гибридной рабочей машины и потенциально предоставить злоумышленнику доступ с правами участника подписки. Это может поставить под угрозу безопасность вашей среды Azure. Используйте пользовательские роли гибридных рабочих для пользователей, ответственных за управление автоматизацией планов-конспектов для гибридных рабочих планов-конспектов и групп гибридных рабочих планов-конспектов.
Отмените регистрацию всех неиспользуемых или неотзывчивых гибридных работников.
Настоятельно рекомендуется никогда не настраивать расширение гибридной рабочей роли на виртуальной машине, размещающей контроллер домена. Лучшие практики безопасности не советуют такую настройку из-за высокого риска подверженности контроллеров домена потенциальным вектором атак через задания службы автоматизации Azure. Контроллеры домена должны быть высокозащищены и изолированы от неисправных служб, чтобы предотвратить несанкционированный доступ и обеспечить целостность среды служб домен Active Directory (ADDS).
Сертификат аутентификации и идентификации
Для аутентификации рабочего журнала рекомендуется использовать управляемые удостоверения. Управляемая идентификация из Microsoft Entra ID позволяет вашему плану выполнения легко получить доступ к другим защищенным ресурсам Microsoft Entra, таким как Azure Key Vault. Учетные записи управляются платформой Azure, и вам не нужно подготавливать или заменять секреты. Дополнительные сведения об управляемых удостоверениях в службе автоматизации Azure см. в разделе «Управляемые удостоверения для службы автоматизации Azure»
Вы можете пройти проверку подлинности учетной записи службы автоматизации с помощью двух типов управляемых удостоверений:
- Назначаемое системой удостоверение привязано к приложению и удаляется при удалении приложения. Приложение может иметь только одно назначаемое системой удостоверение.
- Идентичность, назначенная пользователем — это автономный ресурс Azure, который можно назначить вашему приложению. Приложение может иметь несколько назначаемых пользователем удостоверений.
Для получения более подробной информации следуйте рекомендациям по лучшим практикам использования управляемой идентичности.
Периодически обновляйте ключи Azure Automation. Повторное создание ключей предотвращает будущие регистрации DSC или гибридных рабочих узлов с использованием предыдущих ключей. Рекомендуем использовать гибридные рабочие на основе расширений, которые используют проверку подлинности Microsoft Entra вместо ключей автоматизации. Идентификатор Microsoft Entra централизованно управляет удостоверениями и учетными данными ресурсов.
Безопасность данных
Защитите активы в Azure Automation, такие как учетные данные, сертификаты, подключения и зашифрованные переменные. Для защиты этих ресурсов в службе автоматизации Azure используется несколько уровней шифрования. По умолчанию данные шифруются с помощью ключей, управляемых Майкрософт. Для дополнительного управления ключами шифрования можно предоставить управляемые клиентом ключи для шифрования ресурсов службы автоматизации. Эти ключи должны присутствовать в Azure Key Vault для службы автоматизации, чтобы иметь доступ к ключам. См . шифрование защищенных ресурсов с помощью ключей, управляемых клиентом.
Не печатайте учетные данные или сведения о сертификате в выходных данных задания. Оператор задания автоматизации, являющийся пользователем с невысокими привилегиями, может просматривать конфиденциальную информацию.
Сохраняйте допустимую резервную копию конфигурации службы автоматизации , например модули Runbook и ресурсы, обеспечивающие проверку резервных копий и защиту для обеспечения непрерывности бизнес-процессов после неожиданного события.
Сетевая изоляция
- Используйте Azure Private Link для безопасного подключения гибридных агентов Runbook к службе автоматизации Azure. Частная конечная точка Azure — это сетевой интерфейс, который подключает вас конфиденциально и безопасно к службе автоматизации Azure, использующей Azure Private Link. Частная конечная точка использует частный IP-адрес из вашей виртуальной сети (VNet), для эффективного перемещения сервиса автоматизации в вашу виртуальную сеть.
Если вы хотите получить доступ к другим службам и управлять ими в частном порядке с помощью модулей Runbook из виртуальной сети Azure без необходимости открывать исходящее подключение к Интернету, можно выполнять модули Runbook в гибридной рабочей роли, подключенной к виртуальной сети Azure.
Правила для Службы автоматизации Azure
Просмотрите рекомендации политик Azure для Azure Automation и действуйте соответствующим образом. См. политики автоматизации Azure.
Следующие шаги
- Сведения об использовании управления доступом на основе ролей Azure (Azure RBAC) см. в статье «Управление разрешениями ролей и безопасностью в службе автоматизации Azure».
- Сведения о том, как Azure защищает вашу конфиденциальность и защищает ваши данные, см. в разделе Безопасность данных в Azure Automation.
- Сведения о настройке учетной записи службы автоматизации для использования шифрования см. в разделе "Шифрование безопасных ресурсов" в служба автоматизации Azure.