Condividi tramite


Procedure consigliate per la sicurezza in Automazione di Azure

Importante

Gli account RunAs di Automazione di Azure, inclusi gli account Run as classici, sono stati ritirati 30 settembre 2023 e sostituiti con Identità gestite. Non sarà più possibile creare o rinnovare gli account Runas tramite il portale di Azure. Per altre informazioni, vedere Eseguire la migrazione da un account RunAs esistente a Identità gestita.

Questo articolo illustra in dettaglio le procedure consigliate per eseguire in modo sicuro i processi di automazione. Automazione di Azure offre la piattaforma per orchestrare attività operative e di gestione dell'infrastruttura frequenti, dispendiose in termini di tempo e soggette a errori, nonché operazioni cruciali. Questo servizio consente di eseguire script, noti come runbook di automazione in modo semplice in ambienti cloud e ibridi.

I componenti della piattaforma del servizio Automazione di Azure sono protetti e protetti attivamente. Il servizio esegue controlli di sicurezza e conformità affidabili. Il benchmark della sicurezza Microsoft Cloud illustra in dettaglio le procedure consigliate e le raccomandazioni per migliorare la sicurezza dei carichi di lavoro, dei dati e dei servizi in Azure. Vedere anche Baseline di sicurezza di Azure per Automazione di Azure.

Configurazione sicura dell'account di Automazione

Questa sezione illustra come configurare l'account di Automazione in modo sicuro.

Autorizzazioni

  1. Seguire il principio dei privilegi minimi per svolgere il lavoro quando si concede l'accesso alle risorse di Automazione. Implementare i Ruoli controllo degli accessi in base al ruolo granulari di Automazione ed evitare di assegnare ruoli o ambiti più ampi, ad esempio il livello di sottoscrizione. Quando si creano i ruoli personalizzati, includere solo le autorizzazioni necessarie agli utenti. Limitando ruoli e ambiti, si limitano anche le risorse a rischio in caso di compromissione dell’entità di sicurezza. Per informazioni dettagliate sui concetti relativi al controllo degli accessi in base al ruolo, vedere le Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

  2. Evitare ruoli che includono Azioni con un carattere jolly (*) perché implica l'accesso completo alla risorsa di Automazione o a una sotto-risorsa, ad esempio automationaccounts/*/read. Usare invece azioni specifiche solo per l'autorizzazione richiesta.

  3. Configurare l’accesso basato sul ruolo a livello di runbook se l'utente non richiede l'accesso a tutti i runbook nell'account di Automazione.

  4. Limitare il numero di ruoli con privilegi elevati, ad esempio Collaboratore Automazione, per ridurre il rischio di violazione da parte di un proprietario compromesso.

  5. Usare Privileged Identity Management di Microsoft Entra per proteggere gli account con privilegi da attacchi informatici dannosi per aumentare la visibilità sull'uso tramite report e avvisi.

Protezione del ruolo di lavoro ibrido per runbook

  1. Installare ruoli di lavoro ibridi usando l'estensione del ruolo di lavoro ibrido per runbook, che non ha alcuna dipendenza dall'agente di Log Analytics. È consigliabile usare questa piattaforma perché sfrutta l'autenticazione basata su Microsoft Entra ID. Funzionalità di ruolo di lavoro ibrido per runbook di Automazione di Azure consente di eseguire runbook direttamente nel computer che ospita il ruolo in Azure o in computer non Azure per eseguire processi di automazione nell'ambiente locale.

    • Usare solo utenti con privilegi elevati o ruoli di lavoro ibrido personalizzati per gli utenti responsabili della gestione delle operazioni, ad esempio la registrazione o l'annullamento della registrazione di ruoli di lavoro ibridi e dei gruppi ibridi e l'esecuzione di runbook nei gruppi di ruoli di lavoro ibridi per runbook.
    • Lo stesso utente richiederebbe anche l'accesso collaboratore della macchina virtuale nel computer che ospita il ruolo di lavoro ibrido. Poiché il collaboratore della macchina virtuale è un ruolo con privilegi elevati, assicurarsi che solo un set limitato di utenti abbia accesso per gestire il funzionamento ibrido, riducendo così il rischio di violazione da parte di un proprietario compromesso.

    Seguire le Procedure consigliate per il Controllo degli accessi in base al ruolo di Azure.

  2. Seguire il principio dei privilegi minimi e concedere solo le autorizzazioni necessarie agli utenti per l'esecuzione di runbook in un ruolo di lavoro ibrido. Non fornire autorizzazioni senza restrizioni per il computer che ospita il ruolo di lavoro ibrido per runbook. In caso di accesso senza restrizioni, un utente con diritti di collaboratore della macchina virtuale o avere le autorizzazioni per eseguire i comandi nel computer del ruolo di lavoro ibrido può usare il certificato RunAs dell'account di Automazione dal computer del ruolo di lavoro ibrido e potrebbe potenzialmente consentire a un utente malintenzionato l'accesso come collaboratore alla sottoscrizione. Ciò potrebbe compromettere la sicurezza dell'ambiente Azure. Usare ruoli di lavoro ibrido personalizzati per gli utenti responsabili della gestione dei runbook in ruoli di lavoro ibridi per runbook e gruppi di ruoli di lavoro ibridi per runbook.

  3. Annullare la registrazione i ruoli di lavoro ibridi inutilizzati o non reattivi.

  4. È consigliabile non configurare mai l'estensione ruolo di lavoro ibrido in una macchina virtuale che ospita un controller di dominio. Le procedure consigliate per la sicurezza non consigliano una configurazione di questo tipo a causa della natura ad alto rischio dell'esposizione dei controller di dominio a potenziali vettori di attacco tramite processi di Automazione di Azure. I controller di dominio devono essere altamente protetti e isolati da servizi non essenziali per impedire l'accesso non autorizzato e mantenere l'integrità dell'ambiente Dominio di Active Directory Services (ADDS).

Certificato di autenticazione e identità

  1. Per l'autenticazione del runbook, è consigliabile usare le Identità gestite anziché gli account RunAs. Gli account RunAs rappresentano un sovraccarico amministrativo e si prevede di deprecarli. Un'identità gestita di Microsoft Entra ID consente al runbook di accedere facilmente ad altre risorse protette da Microsoft Entra, come Azure Key Vault. L'identità viene gestita dalla piattaforma Azure e non è necessario eseguire il provisioning o ruotare alcun segreto. Per altre informazioni sulle identità gestite in Automazione di Azure, vedere Identità gestite per Automazione di Azure

    È possibile autenticare un account di Automazione usando due tipi di identità gestite:

    • Un'Identità assegnata dal sistema viene associata all'applicazione e viene eliminata in caso di eliminazione dell'app. A un'app può essere associata una sola identità assegnata dal sistema.
    • Un'Identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata all'app. Un'app può avere più identità assegnate dall'utente.

    Per altri dettagli, seguire le Raccomandazioni sulle procedure consigliate per le identità gestite.

  2. Ruotare periodicamente le Chiavi di Automazione di Azure. La rigenerazione della chiave impedisce alle registrazioni future dei nodi di lavoro DSC o di ruoli di lavoro ibrido di usare le chiavi precedenti. È consigliabile usare i Ruoli di lavoro ibridi basati su estensione che usano l'autenticazione di Microsoft Entra anziché le chiavi di automazione. Microsoft Entra ID centralizza il controllo e la gestione delle identità e delle credenziali delle risorse.

Sicurezza dei dati

  1. Proteggere gli asset in Automazione di Azure, inclusi credenziali, certificati, connessioni e variabili crittografate. Questi asset sono protetti in Automazione di Azure con più livelli di crittografia. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un maggiore controllo sulle chiavi di crittografia, è possibile specificare chiavi gestite dal cliente da usare per la crittografia degli asset di automazione. Queste chiavi devono essere presenti in Azure Key Vault per consentire al servizio automazione di accedere alle chiavi. Vedere la Crittografia degli asset sicuri usando chiavi gestite dal cliente.

  2. Non stampare le credenziali o i dettagli del certificato nell'output del processo. Un operatore di processo di Automazione che è l'utente con privilegi limitati può visualizzare le informazioni riservate.

  3. Mantenere un backup valido della configurazione dell’Automazione, ad esempio runbook e asset, assicurando che i backup vengano convalidati e protetti per mantenere la continuità aziendale dopo un evento imprevisto.

Isolamento della rete

  1. Usare il Collegamento privato di Azure per connettere in modo sicuro i ruoli di lavoro ibridi per runbook ad Automazione di Azure. L’endpoint privato di Azure è un'interfaccia di rete che connette privatamente e in modo sicuro a un servizio di Automazione di Azure basato sul collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato dalla rete virtuale per portare effettivamente il servizio di automazione nella rete virtuale.

Se si desidera accedere e gestire altri servizi privatamente tramite runbook dalla rete virtuale di Azure senza la necessità di aprire una connessione in uscita a Internet, è possibile eseguire il runbook in un ruolo di lavoro ibrido connesso alla rete virtuale di Azure.

Criteri per Automazione di Azure

Esaminare le raccomandazioni di Criteri di Azure per Automazione di Azure e agire in base alle esigenze. Vedere i criteri di Automazione di Azure.

Passaggi successivi