Práticas recomendadas de segurança na Automação do Azure
Importante
As contas da Execução de Automação do Azure, incluindo a Execução Clássica, foram desativadas em 30 de setembro de 2023 e substituídas por Identidades Gerenciadas. Você não poderá mais criar ou renovar contas Run as por meio do portal do Azure. Para mais informações, ver Migrar de contas Run As existentes para uma identidade gerida.
Este artigo detalha as práticas recomendadas para executar com segurança os trabalhos de automação. A Automação do Azure fornece a plataforma para orquestrar tarefas operacionais e de gerenciamento de infraestrutura frequentes, demoradas e propensas a erros, bem como operações de missão crítica. Esse serviço permite que você execute scripts, conhecidos como runbooks de automação perfeitamente em ambientes híbridos e de nuvem.
Os componentes de plataforma do Serviço de Automação do Azure são ativamente protegidos e protegidos. O serviço passa por verificações robustas de segurança e conformidade. o benchmark de segurança na nuvem da Microsoft detalha as práticas recomendadas e recomendações para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure. Consulte também a linha de base de segurança do Azure para a Automação do Azure.
Configuração segura da conta de automação
Esta seção o orienta na configuração segura de sua conta de automação.
Permissões
Siga o princípio do menor privilégio para realizar o trabalho ao conceder acesso aos recursos de automação. Implemente funções RBAC granulares de automação e evite atribuir funções ou escopos mais amplos, como nível de assinatura. Ao criar as funções personalizadas, inclua apenas as permissões de que os usuários precisam. Ao limitar funções e escopos, você limita os recursos que estão em risco se a entidade de segurança for comprometida. Para obter informações detalhadas sobre conceitos de controle de acesso baseado em função, consulte Práticas recomendadas de controle de acesso baseado em função do Azure.
Evite funções que incluam Ações com um curinga (*), pois isso implica acesso total ao recurso de Automação ou a um subrecurso, por exemplo , automationaccounts/*/read. Em vez disso, use ações específicas apenas para a permissão necessária.
Configure o acesso baseado em função em um nível de runbook se o usuário não precisar de acesso a todos os runbooks na conta de automação.
Limite o número de funções altamente privilegiadas, como Contribuidor de automação, para reduzir o potencial de violação por um proprietário comprometido.
Use o Microsoft Entra Privileged Identity Management para proteger as contas privilegiadas de ataques cibernéticos mal-intencionados para aumentar sua visibilidade sobre seu uso por meio de relatórios e alertas.
Protegendo a função de trabalho do Runbook Híbrido
Instale os trabalhadores híbridos usando a extensão de VM do Runbook Worker híbrido, que não tem nenhuma dependência do agente do Log Analytics. Recomendamos esta plataforma, pois ela aproveita a autenticação baseada no Microsoft Entra ID. O recurso Hybrid Runbook Worker da Automação do Azure permite que você execute runbooks diretamente na máquina que hospeda a função na máquina Azure ou não Azure para executar trabalhos de Automação no ambiente local.
- Use apenas usuários de alto privilégio ou funções personalizadas de trabalhador híbrido para usuários responsáveis pelo gerenciamento de operações, como registrar ou cancelar o registro de trabalhadores híbridos e grupos híbridos e executar runbooks em grupos de trabalhadores de runbook híbridos.
- O mesmo usuário também exigiria acesso de colaborador de VM na máquina que hospeda a função de trabalho híbrida. Como o colaborador da VM é uma função de alto privilégio, garanta que apenas um conjunto limitado de usuários tenha acesso para gerenciar obras híbridas, reduzindo assim o potencial de violação por um proprietário comprometido.
Siga as práticas recomendadas do RBAC do Azure.
Siga o princípio de menor privilégio e conceda apenas as permissões necessárias aos usuários para execução de runbook em um trabalhador híbrido. Não forneça permissões irrestritas para a máquina que hospeda a função de trabalho de runbook híbrido. Em caso de acesso irrestrito, um usuário com direitos de Colaborador de VM ou com permissões para executar comandos na máquina de trabalho híbrida pode usar o certificado Run As de Conta de Automação da máquina de trabalho híbrida e pode potencialmente permitir que um usuário mal-intencionado acesse como um colaborador de assinatura. Isso pode comprometer a segurança do seu ambiente do Azure. Use funções personalizadas de trabalhador híbrido para usuários responsáveis por gerenciar runbooks de automação em relação a trabalhadores de runbook híbridos e grupos de trabalhadores de runbook híbridos.
Cancele o registro de trabalhadores híbridos não utilizados ou não responsivos.
É altamente recomendável que você nunca configure a extensão Hybrid Worker em uma máquina virtual que hospeda o controlador de domínio. As práticas recomendadas de segurança não aconselham essa configuração devido à natureza de alto risco de expor controladores de domínio a potenciais vetores de ataque por meio de trabalhos de Automação do Azure. Os controladores de domínio devem ser altamente protegidos e isolados de serviços não essenciais para impedir o acesso não autorizado e manter a integridade do ambiente dos Serviços de Domínio Ative Directory (ADDS).
Certificado de autenticação e identidades
Para autenticação de runbook, recomendamos que você use identidades gerenciadas em vez de contas Run As. As contas Run As são uma sobrecarga administrativa e planejamos descartá-las. Uma identidade gerenciada do Microsoft Entra ID permite que seu runbook acesse facilmente outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault. A identidade é gerida pela plataforma do Azure e não precisa de aprovisionar nem rodar segredos. Para obter mais informações sobre identidades gerenciadas na Automação do Azure, consulte Identidades gerenciadas para a Automação do Azure
Você pode autenticar uma conta de automação usando dois tipos de identidades gerenciadas:
- A identidade atribuída pelo sistema está vinculada ao seu aplicativo e é excluída se o aplicativo for excluído. Uma aplicação só pode ter uma identidade atribuída pelo sistema.
- A identidade atribuída pelo usuário é um recurso autônomo do Azure que pode ser atribuído ao seu aplicativo. Uma aplicação pode ter várias identidades atribuídas pelo utilizador.
Siga as recomendações de práticas recomendadas de identidade gerenciada para obter mais detalhes.
Gire as chaves de Automação do Azure periodicamente. A regeneração de chaves impede que futuros registros de nó de trabalho híbrido ou DSC usem chaves anteriores. Recomendamos usar os trabalhadores híbridos baseados em extensão que usam a autenticação do Microsoft Entra em vez de chaves de automação. O Microsoft Entra ID centraliza o controle e o gerenciamento de identidades e credenciais de recursos.
Segurança de dados
Proteja os ativos na Automação do Azure, incluindo credenciais, certificados, conexões e variáveis criptografadas. Esses ativos são protegidos na Automação do Azure usando vários níveis de criptografia. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para obter controle adicional sobre chaves de criptografia, você pode fornecer chaves gerenciadas pelo cliente para usar na criptografia de ativos de automação. Essas chaves devem estar presentes no serviço Azure Key Vault for Automation para poder acessar as chaves. Consulte Criptografia de ativos seguros usando chaves gerenciadas pelo cliente.
Não imprima credenciais ou detalhes do certificado na saída do trabalho. Um operador de trabalho de automação que é o usuário de baixo privilégio pode exibir as informações confidenciais.
Mantenha um backup válido da configuração de automação , como runbooks e ativos, garantindo que os backups sejam validados e protegidos para manter a continuidade dos negócios após um evento inesperado.
Isolamento da rede
- Use o Azure Private Link para conectar com segurança os trabalhadores de runbook híbridos à Automação do Azure. O Ponto de Extremidade Privado do Azure é uma interface de rede que o conecta de forma privada e segura a um serviço de Automação do Azure com tecnologia do Azure Private Link. O Ponto de Extremidade Privado usa um endereço IP privado da sua Rede Virtual (VNet), para trazer efetivamente o serviço de Automação para sua VNet.
Se você quiser acessar e gerenciar outros serviços de forma privada por meio de runbooks da VNet do Azure sem a necessidade de abrir uma conexão de saída com a Internet, poderá executar runbooks em um Trabalhador Híbrido conectado à VNet do Azure.
Políticas para a Automação do Azure
Analise as recomendações da Política do Azure para a Automação do Azure e aja conforme apropriado. Consulte Políticas de automação do Azure.
Próximos passos
- Para saber como usar o controle de acesso baseado em função do Azure (Azure RBAC), consulte Gerenciar permissões de função e segurança na Automação do Azure.
- Para obter informações sobre como o Azure protege sua privacidade e protege seus dados, consulte Segurança de dados da Automação do Azure.
- Para saber mais sobre como configurar a conta de automação para usar criptografia, consulte Criptografia de ativos seguros na Automação do Azure.