Gestion des données Azure Automation
Cet article contient plusieurs rubriques expliquant comment les données sont protégées et sécurisées dans un environnement Azure Automation.
TLS pour Azure Automation
Pour garantir la sécurité des données en transit vers Azure Automation, nous vous encourageons vivement à configurer l'utilisation du protocole TLS. Voici une liste de méthodes ou de clients qui communiquent via HTTPS avec le service Automation :
Appels de Webhook
Runbook Workers hybrides comprenant des machines gérées par Update Management et Suivi des modifications et inventaire.
Nœuds DSC
Les versions antérieures de TLS/SSL (Secure Sockets Layer) se sont avérées vulnérables et bien qu’elles fonctionnent encore pour assurer la compatibilité descendante, elles sont déconseillées. Nous ne recommandons pas de configurer explicitement votre agent de façon à ce qu’il utilise uniquement TLS 1.2, sauf en cas de nécessité, car cela peut annuler les fonctionnalités de sécurité au niveau de la plateforme qui vous permettent de détecter automatiquement et de tirer parti des protocoles plus sécurisés et plus récents dès qu’ils sont disponibles, tels que TLS 1.3.
Pour plus d'informations sur la prise en charge du TLS par l'agent Log Analytics pour Windows et Linux, une dépendance du rôle Runbook Worker hybride, consultez Vue d'ensemble de l'agent Log Analytics – TLS.
Mettre à niveau le protocole TLS pour les appels de webhook et Workers hybrides
À compter du 31 octobre 2024, tous les nœuds DSC, webhooks et Workers de runbooks hybrides utilisateur basés sur un agent et basés sur une extension utilisant les protocoles TLS (Transport Layer Security) 1.0 et 1.1 ne pourront plus se connecter à Azure Automation. Tous les travaux exécutés ou planifiés sur des Workers hybrides utilisant les protocoles TLS 1.0 et 1.1 échoueront.
Veillez à ce que les appels de webhook qui déclenchent des runbooks naviguent sur TLS 1.2 ou version ultérieure. Veillez à apporter des modifications au Registre afin que les Workers basés sur un agent et basés sur une extension négocient uniquement sur le protocole TLS 1.2 et versions ultérieures. Découvrez comment désactiver les protocoles TLS 1.0/1.1 sur Worker hybride Windows et activer TLS 1.2 ou version ultérieure sur une machine Windows.
Pour les Workers hybrides Linux, exécutez le script Python suivant pour effectuer une mise à niveau vers le protocole TLS le plus récent.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Instructions spécifiques à la plateforme
| Plateforme/Langage | Support | Informations complémentaires |
|---|---|---|
| Linux | Les distributions de Linux s’appuient généralement sur OpenSSL pour la prise en charge de TLS 1.2. | Vérifiez OpenSSL Changelog pour vous assurer que votre version d’OpenSSL est prise en charge. |
| Windows 8.0 - 10 | Pris en charge, activé par défaut. | Pour confirmer que vous utilisez toujours les paramètres par défaut. |
| Windows Server 2012 - 2016 | Pris en charge, activé par défaut. | Pour confirmer que vous utilisez toujours les paramètres par défaut |
| Windows 7 SP1 et Windows Server 2008 R2 SP1 | Pris en charge, mais non activé par défaut. | Consultez la page Paramètres de Registre de TLS pour plus d’informations sur l’activation. |
Conservation des données
Quand vous supprimez une ressource dans Azure Automation, elle est conservée pendant de nombreux jours à des fins d’audit avant d’être supprimée définitivement. Vous ne pouvez ni voir ni utiliser la ressource pendant cette période. Cette stratégie vaut aussi pour les ressources qui appartiennent à un compte Automation supprimé. La stratégie de rétention s’applique à tous les utilisateurs et ne peut actuellement pas être personnalisée. Cependant, si vous souhaitez conserver les données sur une plus longue période, vous pouvez transférer les données de tâches Azure Automation dans des journaux Azure Monitor.
Le tableau suivant récapitule la stratégie de rétention pour les différentes ressources.
| Données | Stratégie |
|---|---|
| Comptes | Un compte est définitivement supprimé 30 jours après avoir été supprimé par un utilisateur. |
| Actifs | Une ressource est définitivement supprimée 30 jours après avoir été supprimée par un utilisateur ou 30 jours après qu’un utilisateur a supprimé un compte qui contenait la ressource. Les ressources incluent des variables, des planifications, des informations d’identification, des certificats, des packages Python 2 et des connexions. |
| Nœuds DSC | Un nœud DSC est définitivement supprimé 30 jours après avoir été désinscrit d’un compte Automation via le portail Azure ou l’applet de commande Unregister-AzAutomationDscNode dans Windows PowerShell. De même, un nœud peut être supprimé définitivement 30 jours après qu’un utilisateur a supprimé le compte qui contenait le nœud. |
| Tâches | Une tâche est supprimée et définitivement retirée 30 jours après avoir été modifiée (par exemple, suite à la fin, à l’arrêt ou à l’interruption de la tâche). |
| Modules | Un module est définitivement supprimé 30 jours après avoir été supprimé par un utilisateur ou 30 jours après qu’un utilisateur a supprimé le compte qui contenait le module. |
| Configurations de nœud/fichiers MOF | Une ancienne configuration de nœud est définitivement supprimée 30 jours après la génération d’une nouvelle configuration de nœud. |
| Rapports sur le nœud | Le rapport sur un nœud est définitivement supprimé définitivement 90 jours après la génération d’un nouveau rapport pour ce même nœud. |
| Runbooks | Un runbook est définitivement supprimé 30 jours après qu’un utilisateur a supprimé la ressource ou 30 jours après qu’un utilisateur a supprimé le compte qui contenait la ressource1. |
1Le runbook peuvent être récupéré dans la fenêtre de 30 jours en ouvrant un incident de support Azure auprès du support Microsoft Azure. Accédez au site de support Azure et sélectionnez Soumettre une demande de support.
Sauvegarde de données
Quand vous supprimez un compte Automation dans Azure, tous les objets du compte sont supprimés. Ces objets peuvent notamment consister en des runbooks, des modules, des configurations, des paramètres, des tâches ou des ressources. Vous pouvez récupérer un compte Automation supprimé dans les 30 jours suivants. Vous pouvez également utiliser les informations suivantes pour sauvegarder le contenu de votre compte Automation avant de le supprimer :
Runbooks
Vous pouvez exporter vos Runbooks vers vos fichiers de script en utilisant soit le portail Azure, soit l’applet de commande Get-AzureAutomationRunbookDefinition dans Windows PowerShell. Vous pouvez importer ces fichiers de script dans un autre compte Automation, comme expliqué dans Gérer les runbooks dans Azure Automation.
Modules d'intégration
Vous ne pouvez pas exporter les modules d’intégration à partir d’Azure Automation, ils doivent être mis à disposition en dehors du compte Automation.
Actifs
Vous ne pouvez pas exporter de ressources Azure Automation : certificats, connexions, informations d’identification, planifications et variables. En revanche, vous pouvez utiliser le portail Azure et des applets de commande Azure pour noter les détails de ces ressources. Ces détails vous serviront par la suite à créer les ressources qui seront utilisées par les runbooks que vous importerez dans un autre compte Automation.
Vous ne pouvez pas récupérer la valeur des variables chiffrées ou des champs de mot de passe des informations d’identification en utilisant des applets de commande. Si vous ne connaissez pas ces valeurs, vous pouvez les récupérer dans un runbook. Pour récupérer des valeurs de variables, consultez Ressources de variable dans Azure Automation. Pour en savoir plus sur la récupération des valeurs d’informations d’identification, consultez Ressources d’informations d’identification dans Azure Automation.
Configurations DSC
Vous pouvez exporter vos configurations DSC dans des fichiers de script en utilisant soit le portail Azure, soit l'applet de commande Export-AzAutomationDscConfiguration dans Windows PowerShell. Vous pouvez importer et utiliser ces configurations dans un autre compte Automation.
Résidence des données
Vous spécifiez une région lors de la création d’un compte Azure Automation. Les données de service telles que les ressources, la configuration et les journaux sont stockées dans cette région, et peuvent transiter ou être traitées dans d’autres régions dans la même zone géographique. Ces points de terminaison globaux sont nécessaires pour fournir aux utilisateurs finaux de hautes performances et une faible latence, quelle que soit leur localisation. Dans le cas de la région Brésil Sud (État de Sao Paulo) de la zone géographique Brésil, de la région Asie Sud-Est (Singapour) et de la région Asie Est (Hong Kong) de la zone géographique Asie-Pacifique, nous stockons les données Azure Automation dans la même région afin de répondre aux exigences de résidence des données pour ces régions.
Étapes suivantes
- Pour en savoir plus sur les instructions de sécurité, consultez Meilleures pratiques de sécurité dans Azure Automation.
- Pour en savoir plus sur les ressources sécurisées dans Azure Automation, consultez Chiffrement des ressources sécurisées dans Azure Automation.
- Pour découvrir plus en détail la géoréplication, consultez Création et utilisation de la géoréplication active.