Zarządzanie danymi usługi Azure Automation
Ten artykuł zawiera kilka tematów wyjaśniających, jak dane są chronione i zabezpieczone w środowisku usługi Azure Automation.
Protokół TLS dla usługi Azure Automation
Aby zapewnić bezpieczeństwo danych przesyłanych do usługi Azure Automation, zdecydowanie zachęcamy do skonfigurowania korzystania z protokołu Transport Layer Security (TLS). Poniżej przedstawiono listę metod lub klientów komunikujących się za pośrednictwem protokołu HTTPS z usługą Automation:
Wywołania elementu webhook
Hybrydowe procesy robocze elementów Runbook, które obejmują maszyny zarządzane przez rozwiązanie Update Management i Śledzenie zmian i spis.
Węzły DSC
Starsze wersje protokołu TLS/Secure Sockets Layer (SSL) zostały uznane za podatne na zagrożenia i mimo że nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane. Nie zalecamy jawnego ustawiania agenta na używanie tylko protokołu TLS 1.2, chyba że jest to konieczne, ponieważ może przerwać funkcje zabezpieczeń na poziomie platformy, które umożliwiają automatyczne wykrywanie i korzystanie z nowszych bezpieczniejszych protokołów, takich jak TLS 1.3.
Aby uzyskać informacje o obsłudze protokołu TLS przy użyciu agenta usługi Log Analytics dla systemów Windows i Linux, który jest zależnością dla roli hybrydowego procesu roboczego elementu Runbook, zobacz Omówienie agenta usługi Log Analytics — TLS.
Uaktualnianie protokołu TLS dla hybrydowych procesów roboczych i wywołań elementu webhook
Od 31 października 2024 r. wszystkie oparte na agentach i oparte na rozszerzeniach hybrydowe procesy robocze elementów Runbook użytkownika, elementy webhook i węzły DSC przy użyciu protokołu Transport Layer Security (TLS) 1.0 i 1.1 nie będą już mogły łączyć się z usługą Azure Automation. Wszystkie zadania uruchomione lub zaplanowane dla hybrydowych procesów roboczych przy użyciu protokołów TLS 1.0 i 1.1 kończą się niepowodzeniem.
Upewnij się, że wywołania elementu webhook, które wyzwalają elementy Runbook, nawigują po protokole TLS 1.2 lub nowszym. Upewnij się, że wprowadzono zmiany rejestru, aby procesy robocze oparte na agentach i rozszerzeniach negocjowały tylko w protokołach TLS 1.2 i nowszych. Dowiedz się, jak wyłączyć protokoły TLS 1.0/1.1 w hybrydowym procesie roboczym systemu Windows i włączyć protokół TLS 1.2 lub nowszy na maszynie z systemem Windows.
W przypadku hybrydowych procesów roboczych systemu Linux uruchom następujący skrypt języka Python, aby uaktualnić do najnowszego protokołu TLS.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Wskazówki specyficzne dla platformy
| Platforma/język | Pomoc techniczna | Więcej informacji |
|---|---|---|
| Linux | Dystrybucje systemu Linux mają tendencję do polegania na protokole OpenSSL na potrzeby obsługi protokołu TLS 1.2. | Sprawdź dziennik zmian protokołu OpenSSL, aby potwierdzić, że jest obsługiwana twoja wersja protokołu OpenSSL. |
| Windows 8.0 – 10 | Obsługiwane i domyślnie włączone. | Aby potwierdzić, że nadal używasz ustawień domyślnych. |
| Windows Server 2012 – 2016 | Obsługiwane i domyślnie włączone. | Aby potwierdzić, że nadal używasz ustawień domyślnych |
| Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1 | Obsługiwane, ale nie są domyślnie włączone. | Aby uzyskać szczegółowe informacje na temat sposobu włączania, zobacz stronę Ustawień rejestru protokołu Transport Layer Security (TLS). |
Przechowywanie danych
Usunięcie zasobu w usłudze Azure Automation jest przechowywane przez wiele dni na potrzeby inspekcji przed trwałym usunięciem. W tym czasie nie można wyświetlić ani użyć zasobu. Te zasady dotyczą również zasobów należących do usuniętego konta usługi Automation. Zasady przechowywania dotyczą wszystkich użytkowników i obecnie nie można ich dostosować. Jeśli jednak musisz przechowywać dane przez dłuższy czas, możesz przekazywać dane zadań usługi Azure Automation do dzienników usługi Azure Monitor.
Poniższa tabela zawiera podsumowanie zasad przechowywania dla różnych zasobów.
| Data | Zasady |
|---|---|
| Klienci | Konto zostanie trwale usunięte 30 dni po jego usunięciu przez użytkownika. |
| Zasoby | Zasób jest trwale usuwany 30 dni po jego usunięciu lub 30 dni po usunięciu przez użytkownika konta, które przechowuje zasób. Zasoby obejmują zmienne, harmonogramy, poświadczenia, certyfikaty, pakiety języka Python 2 i połączenia. |
| Węzły DSC | Węzeł DSC zostanie trwale usunięty 30 dni po wyrejestrowaniu z konta usługi Automation przy użyciu witryny Azure Portal lub polecenia cmdlet Unregister-AzAutomationDscNode w programie Windows PowerShell. Węzeł jest również trwale usuwany 30 dni po usunięciu konta, które zawiera węzeł. |
| Stanowiska | Zadanie zostanie usunięte i trwale usunięte 30 dni po modyfikacji, na przykład po zakończeniu zadania, zostanie zatrzymane lub zawieszone. |
| Moduły | Moduł zostanie trwale usunięty 30 dni po jego usunięciu przez użytkownika lub 30 dni po usunięciu przez użytkownika konta, które przechowuje moduł. |
| Konfiguracje węzłów/pliki MOF | Stara konfiguracja węzła zostanie trwale usunięta 30 dni po wygenerowaniu nowej konfiguracji węzła. |
| Raporty węzłów | Raport węzła zostanie trwale usunięty 90 dni po wygenerowaniu nowego raportu dla tego węzła. |
| Elementy Runbook | Element Runbook zostanie trwale usunięty 30 dni po usunięciu zasobu przez użytkownika lub 30 dni po usunięciu przez użytkownika konta, które zawiera zasób1. |
1Element Runbook można odzyskać w ciągu 30-dniowego okna, zgłaszając zdarzenie pomoc techniczna platformy Azure z pomocą techniczną platformy Microsoft Azure. Przejdź do witryny pomoc techniczna platformy Azure i wybierz pozycję Prześlij wniosek o pomoc techniczną.
Kopia zapasowa danych
Po usunięciu konta usługi Automation na platformie Azure wszystkie obiekty na koncie zostaną usunięte. Obiekty obejmują elementy Runbook, moduły, konfiguracje, ustawienia, zadania i zasoby. Usunięte konto usługi Automation można odzyskać w ciągu 30 dni. Aby utworzyć kopię zapasową zawartości konta usługi Automation przed jego usunięciem, możesz również użyć następujących informacji:
Elementy Runbook
Elementy Runbook można wyeksportować do plików skryptów przy użyciu witryny Azure Portal lub polecenia cmdlet Get-AzureAutomationRunbookDefinition w programie Windows PowerShell. Te pliki skryptów można zaimportować do innego konta usługi Automation, zgodnie z opisem w temacie Zarządzanie elementami Runbook w usłudze Azure Automation.
Moduły integracji
Nie można wyeksportować modułów integracji z usługi Azure Automation. Muszą one być udostępniane poza kontem usługi Automation.
Zasoby
Nie można eksportować zasobów usługi Azure Automation: certyfikatów, połączeń, poświadczeń, harmonogramów i zmiennych. Zamiast tego możesz użyć witryny Azure Portal i poleceń cmdlet platformy Azure, aby zanotować szczegóły tych zasobów. Następnie użyj tych szczegółów, aby utworzyć wszystkie zasoby, które są używane przez elementy Runbook importowane do innego konta usługi Automation.
Nie można pobrać wartości dla zaszyfrowanych zmiennych ani pól haseł poświadczeń przy użyciu poleceń cmdlet. Jeśli nie znasz tych wartości, możesz je pobrać w elemecie Runbook. Aby uzyskać wartości zmiennych, zobacz Zmienne zasoby w usłudze Azure Automation. Aby dowiedzieć się więcej na temat pobierania wartości poświadczeń, zobacz Zasoby poświadczeń w usłudze Azure Automation.
Konfiguracje DSC
Konfiguracje DSC można wyeksportować do plików skryptów przy użyciu witryny Azure Portal lub polecenia cmdlet Export-AzAutomationDscConfiguration w programie Windows PowerShell. Te konfiguracje można zaimportować i użyć na innym koncie usługi Automation.
Przechowywanie danych
Region należy określić podczas tworzenia konta usługi Azure Automation. Dane usługi, takie jak zasoby, konfiguracja, dzienniki, są przechowywane w tym regionie i mogą być przesyłane lub przetwarzane w innych regionach w tej samej lokalizacji geograficznej. Te globalne punkty końcowe są niezbędne, aby zapewnić użytkownikom końcowym środowisko o wysokiej wydajności i małych opóźnieniach niezależnie od lokalizacji. Tylko w przypadku regionu geograficznego Brazylia Południowa (Sao Paulo) w Brazylii, regionie Azji Południowo-Wschodniej (Singapur) i regionie Azji Wschodniej (Hongkong) geografii Azji i Pacyfiku przechowujemy dane usługi Azure Automation w tym samym regionie, aby uwzględnić wymagania dotyczące rezydencji danych dla tych regionów.
Następne kroki
- Aby dowiedzieć się więcej na temat wytycznych dotyczących zabezpieczeń, zobacz Najlepsze rozwiązania w zakresie zabezpieczeń w usłudze Azure Automation.
- Aby dowiedzieć się więcej na temat bezpiecznych zasobów w usłudze Azure Automation, zobacz Szyfrowanie bezpiecznych zasobów w usłudze Azure Automation.
- Aby dowiedzieć się więcej na temat replikacji geograficznej, zobacz Tworzenie i używanie aktywnej replikacji geograficznej.