Bonnes pratiques de sécurité dans Azure Automation
Important
Les comptes Azure Automation Run as, y compris les comptes Classic Run as, ont été retirés le 30 septembre 2023 et remplacés par des identités managées. Vous ne pourrez plus créer ou renouveler des comptes d’exécution via le portail Microsoft Azure. Pour plus d’informations, consultez Migration à partir de comptes d’identification existants vers une identité managée.
Cet article détaille les bonnes pratiques pour exécuter les travaux d’automatisation de façon sécurisée. Azure Automation vous fournit la plateforme pour orchestrer des tâches opérationnelles et de gestion d’infrastructure fréquentes, longues et sujettes aux erreurs, ainsi que des opérations stratégiques. Ce service vous permet d’exécuter de façon fluide des scripts, appelés runbooks d’automatisation, dans les environnements cloud et hybrides.
Les composants de plateforme d’Azure Automation Service sont activement sécurisés et renforcés. Le service est soumis à de sérieuses vérifications de conformité et de sécurité. Le point de référence de sécurité Microsoft Cloud détaille les bonnes pratiques et les recommandations pour améliorer la sécurité des charges de travail, des données et des services dans Azure. Consultez également Base de référence de sécurité Azure pour Azure Automation.
Configuration sécurisée du compte Automation
Cette section vous guide dans la configuration sécurisée de votre compte Automation.
Autorisations
Suivez le principe du moindre privilège pour accomplir le travail lorsque vous accordez l’accès aux ressources Automation. Implémentez des rôles RBAC Automation précis et évitez d’attribuer des rôles ou des étendues plus vastes, comme le niveau d’abonnement. Lors de la création de rôles personnalisés, incluez uniquement les autorisations dont les utilisateurs ont besoin. En limitant les rôles et les étendues, vous limitez les ressources à risque en cas de compromission du principal de sécurité. Pour des informations détaillées sur les concepts de contrôle d’accès en fonction du rôle, consultez Bonnes pratiques pour le contrôle d’accès en fonction du rôle Azure.
Évitez les rôles qui incluent des actions avec un caractère générique (*), car cela implique un accès total à la ressource Automation ou à une sous-ressource, par exemple automationaccounts/*/read. Utilisez plutôt des actions spécifiques à l’autorisation requise uniquement.
Configurez l’accès en fonction du rôle à un niveau runbook si l’utilisateur n’a pas besoin d’accéder à tous les runbooks du compte Automation.
Limitez le nombre de rôles avec des privilèges élevés comme Contributeur Automation afin de réduire le risque de violation par un propriétaire compromis.
Utilisez Microsoft Entra Privileged Identity Management pour protéger les comptes privilégiés contre les cyberattaques malveillantes afin d'augmenter votre visibilité sur leur utilisation via des rapports et des alertes.
Sécurisation du rôle Runbook Worker hybride
Installez des workers hybrides en utilisant l’extension de machine virtuelle Runbook Worker hybride, qui n’a aucune dépendance à l’agent Log Analytics. Nous recommandons cette plate-forme car elle exploite l'authentification basée sur Microsoft Entra ID. La fonctionnalité Runbook Worker hybride d’Azure Automation vous permet d’exécuter des runbooks directement sur l’ordinateur hébergeant le rôle d’un ordinateur Azure ou non-Azure pour exécuter des travaux Automation dans l’environnement local.
- Utilisez uniquement des utilisateurs avec des privilèges élevés ou des rôles personnalisés de worker hybride pour les utilisateurs responsables de la gestion des opérations telles que l’inscription ou la désinscription de workers hybrides et de groupes hybrides, ainsi que l’exécution de runbooks sur des groupes de runbooks Workers hybrides.
- Le même utilisateur doit également avoir accès au contributeur de machines virtuelles sur l’ordinateur qui héberge le rôle de worker hybride. Étant donné que le contributeur de machines virtuelles est un rôle avec des privilèges élevés, assurez-vous que seul un groupe limité d’utilisateurs a un accès pour gérer les travaux hybrides afin de réduire le risque de violation par un propriétaire compromis.
Suivez les Bonnes pratiques relatives à Azure RBAC.
Suivez le principe du moindre privilège et accordez aux utilisateurs les autorisations uniquement requises pour l’exécution de runbooks sur un worker hybride. Ne fournissez pas d’autorisations illimitées à l’ordinateur hébergeant le rôle de runbook Worker hybride. En cas d’accès illimité, un utilisateur avec les droits de Contributeur de machines virtuelles, ou avec les autorisations pour exécuter des commandes sur l’ordinateur de worker hybride, peut utiliser le certificat du compte d’identification Automation de l’ordinateur de worker hybride et potentiellement donner à un utilisateur malveillant un accès en tant que contributeur d’abonnement. Cela peut compromettre la sécurité de votre environnement Azure. Utilisez des rôles personnalisés Worker hybride pour les utilisateurs responsables de la gestion des runbooks Automation sur les runbooks Workers hybrides et les groupes de runbooks Workers hybrides.
Désinscrivez tout worker hybride non utilisé ou non réactif.
Nous vous recommandons vivement de ne jamais configurer l’extension Worker hybride sur une machine virtuelle qui héberge un contrôleur de domaine. Les meilleures pratiques de sécurité ne conseillent pas une telle configuration en raison du risque élevé d’exposer les contrôleurs de domaine à des vecteurs d’attaque potentiels via des travaux Azure Automation. Les contrôleurs de domaine doivent être fortement sécurisés et isolés des services non essentiels afin d’empêcher tout accès non autorisé et de maintenir l’intégrité de l’environnement Active Directory Domain Services (ADDS).
Certificat d’authentification et identités
Pour l’authentification des runbooks, nous vous recommandons d’utiliser des identités managées plutôt que des comptes d’identification. Les comptes d’identification sont une surcharge administrative que nous prévoyons de déprécier. Une identité gérée à partir de Microsoft Entra ID permet à votre runbook d'accéder facilement à d'autres ressources protégées par Microsoft Entra telles que Azure Key Vault. Managée par la plateforme Azure, l’identité ne nécessite pas que vous approvisionniez ou permutiez de secrets. Pour plus d’informations sur les identités managées dans Azure Automation, consultez Identités managées pour Azure Automation.
Vous pouvez authentifier un compte Automation avec deux types d’identités managées :
- Une identité affectée par le système est liée à votre application et est supprimée si votre application est supprimée. Une application ne peut avoir qu’une seule identité attribuée par le système.
- Une identité affectée par l’utilisateur est une ressource Azure autonome qui peut être affectée à votre application. Une application peut avoir plusieurs identités attribuées par l’utilisateur.
Pour plus de détails, suivez les recommandations de bonnes pratiques sur les identités managées.
Permutez les clés Azure Automation régulièrement. La regénération de clés empêche les futures inscriptions DSC ou de nœuds worker hybride d’utiliser les clés précédentes. Nous vous recommandons d'utiliser les travailleurs hybrides basés sur une extension qui utilisent l'authentification Microsoft Entra au lieu des clés d'Azure Automation. Microsoft Entra ID centralise le contrôle et la gestion des identités et des informations d'identification des ressources.
Sécurité des données
Sécurisez les ressources dans Azure Automation, notamment les informations d'identification, les certificats, les connexions et les variables chiffrées. Ces ressources sont protégées dans Azure Automation avec plusieurs niveaux de chiffrement. Par défaut, les données sont chiffrées avec des clés managées par Microsoft Pour plus de contrôle sur les clés de chiffrement, vous pouvez fournir des clés gérées par le client à utiliser pour le chiffrement des données Automation. Ces clés doivent être présentes dans Azure Key Vault pour que le service Automation puisse accéder aux clés. Consultez Chiffrement des ressources sécurisées avec des clés gérées par le client.
N’affichez pas les détails des informations d’identification ou des certificats dans la sortie du travail. Un opérateur de travail Automation qui est un utilisateur à faibles privilèges peut voir les informations sensibles.
Maintenez une sauvegarde valide de la configuration d’Automation comme les runbooks et les ressources en vous assurant que les sauvegardes sont validées et protégées pour garantir la continuité de l’activité après un événement inattendu.
Isolement réseau
- Utilisez Azure Private Link pour connecter de façon sécurisée les runbooks Workers hybrides à Azure Automation. Un point de terminaison privé Azure est une interface réseau qui vous connecte de façon privée et sécurisée à un service Azure Automation basé sur la technologie Azure Private Link. Un point de terminaison privé utilise une adresse IP privée de votre réseau virtuel pour faire entrer le service Azure Automation dans votre réseau virtuel.
Si vous souhaitez accéder à d’autres services et les gérer en privé par le biais de runbooks à partir d’un réseau virtuel Azure sans avoir à ouvrir de connexion sortante vers Internet, vous pouvez exécuter des runbooks sur un worker hybride connecté au réseau virtuel Azure.
Stratégies pour Azure Automation
Consultez les recommandations Azure Policy pour Azure Automation et agissez en conséquence. Consultez Stratégies Azure Automation.
Étapes suivantes
- Pour savoir comment utiliser le contrôle d’accès en fonction du rôle Azure (Azure RBAC), consultez Gérer les autorisations de rôle et la sécurité dans Azure Automation.
- Pour plus d’informations sur la façon dont Azure protège votre confidentialité et sécurise vos données, consultez Sécurité des données Azure Automation.
- Pour découvrir la configuration du compte Automation pour utiliser le chiffrement, consultez Chiffrement des ressources sécurisées dans Azure Automation.