Azure-säkerhetsbaslinje för Automation

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 2.0 till Azure Automation. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Automation.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte är tillämpliga för Automation, och de som den globala vägledningen rekommenderas för ordagrant, har exkluderats. Information om hur Automation helt mappar till Azure Security Benchmark finns i den fullständiga mappningsfilen för automationssäkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Azure Automation stöder inte distribution direkt till ett virtuellt nätverk. Automation kan inte använda nätverksfunktioner som nätverkssäkerhetsgrupper, routningstabeller eller nätverksberoende enheter som Azure Firewall.

Använd Microsoft Sentinel för att identifiera användningen av äldre osäkra protokoll, till exempel:

Ansvar: Microsoft

NS-2: Koppla samman privata nätverk

Vägledning: Använd Azure ExpressRoute eller Ett virtuellt privat Azure-nätverk (VPN) för att skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar går inte via det offentliga Internet. ExpressRoute ger mer tillförlitlighet, snabbare hastigheter och lägre svarstider än vanliga Internetanslutningar.

För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk med valfri kombination av dessa VPN-alternativ och Azure ExpressRoute.

Om du vill ansluta två eller flera virtuella nätverk i Azure använder du peering för virtuella nätverk. Nätverkstrafiken mellan peerkopplade virtuella nätverk är privat och finns kvar i Azure-stamnätverket.

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Använd Azure Private Link för att aktivera privat åtkomst till Automation från dina virtuella nätverk utan att korsa Internet. Privat åtkomst lägger till ett djupskyddsmått för Azure-autentisering och trafiksäkerhet.

Automation ger inte möjlighet att konfigurera tjänstslutpunkter för virtuella nätverk.

Ansvar: Kund

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Azure Virtual Network-tjänsttaggar för att definiera nätverksåtkomstkontroller för Automation-resurser i nätverkssäkerhetsgrupper eller Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Ange namnet på tjänsttaggen i rätt regelkälla eller målfält för att tillåta eller neka trafiken. Microsoft hanterar adressprefixen som tjänsttaggen omfattar och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Automation använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser. Resurser omfattar:

    • Azure Portal

    • Azure Storage

    • Virtuella Azure Linux- och Windows-datorer

    • Azure Key Vault

    • Plattform som en tjänst (PaaS)

    • SaaS-program (Programvara som en tjänst)

  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Att skydda Azure AD bör ha hög prioritet för organisationens molnsäkerhetspraxis. Azure AD tillhandahåller en identitetssäkerhetspoäng som hjälper dig att jämföra din identitetssäkerhetsstatus med Microsofts rekommendationer för bästa praxis. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Obs! Azure AD stöder externa identiteter som tillåter användare utan ett Microsoft-konto att logga in på sina program och resurser.

Använd självsignerade X.509-certifikat för att autentisera Automation-hybridarbetare och DSC-noder (Desired State Configuration) för att Azure Automation.

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Automation stöder hanterade identiteter för sina Azure-resurser. Använd hanterade identiteter i stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser med Automation.

Automation kan autentisera till Azure-tjänster och resurser som stöder Azure AD autentisering. Automation använder en fördefinierad regel för åtkomstbeviljande i stället för autentiseringsuppgifter hårdkodade i källkods- eller konfigurationsfiler.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Anslut alla användare, program och enheter till Azure AD. Azure AD ger sömlös, säker åtkomst och bättre synlighet och kontroll.

Automation använder Azure AD för att tillhandahålla identitets- och åtkomsthantering för Azure-resurser, molnprogram och lokala program. Identiteter omfattar företagsidentiteter som anställda och externa identiteter som partners, leverantörer och leverantörer. Azure AD identitets- och åtkomsthantering ger enkel inloggning (SSO) för att hantera och skydda åtkomsten till din organisations lokala data och molndata och resurser.

Ansvar: Kund

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Automation-resurser kan innehålla identiteter eller hemligheter. Använd Credential Scanner för att identifiera dessa autentiseringsuppgifter. Genomsökning av autentiseringsuppgifter uppmuntrar till att flytta identifierade autentiseringsuppgifter till säkra platser som Azure Key Vault.

För GitHub kan du använda funktionen för intern genomsökning av hemligheter för att identifiera autentiseringsuppgifter eller andra hemligheter i koden.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: De mest kritiska inbyggda Azure AD rollerna är global administratör och privilegierad rolladministratör. Användare med dessa två roller kan delegera administratörsroller.

  • Den globala administratören eller företagsadministratören har åtkomst till alla Azure AD administrativa funktioner och tjänster som använder Azure AD identiteter.

  • Privilegierad rolladministratör kan hantera rolltilldelningar i Azure AD och Azure AD Privileged Identity Management (PIM). Den här rollen kan hantera alla aspekter av PIM och administrativa enheter.

Begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en förhöjd nivå. Högprivilegierade användare kan direkt eller indirekt läsa och ändra alla dina Azure-resurser. Du kan aktivera jit-privilegierad åtkomst (just-in-time) till Azure-resurser och Azure AD med hjälp av Azure AD PIM. JIT beviljar temporära behörigheter för att utföra privilegierade uppgifter endast när användarna behöver det. PIM kan också generera säkerhetsaviseringar för misstänkt eller osäker aktivitet i din Azure AD organisation.

Obs! Du kan behöva styra andra viktiga roller om du tilldelar vissa privilegierade behörigheter till anpassade roller. Du kanske vill tillämpa liknande kontroller på administratörskonton för viktiga affärstillgångar.

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Automation använder Azure AD-konton för att hantera sina resurser och granska användarkonton. Azure AD använder tilldelningar regelbundet för att säkerställa att kontona och deras åtkomst är giltiga. Automation är dock inte helt integrerat med Azure AD.

Om du använder Automation Kör som-konton för dina runbooks ska du se till att spåra tjänstens huvudnamn i inventeringen. Tjänstens huvudnamn har ofta utökade behörigheter. Ta bort alla oanvända Kör som-konton för att minimera din exponerade attackyta. Det är bäst att använda hanterade identiteter i stället för Kör som-konton.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Hantera dessa användare separat.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör. Använd mycket säkra användararbetsstationer och Azure Bastion för administrativa uppgifter.

Använd Azure AD, Microsoft Defender Advanced Threat Protection (ATP) eller Microsoft Intune för att distribuera en säker hanterad användararbetsstation för administrativa uppgifter. Du kan centralt hantera skyddade arbetsstationer för att framtvinga en säkerhetskonfiguration som innehåller:

  • Stark autentisering

  • Baslinjer för programvara och maskinvara

  • Begränsad logisk åtkomst och nätverksåtkomst

Läs mer i följande referenser:

Ansvar: Kund

PA-7: Följ principen om minsta behörighet för precis tillräcklig administration

Vägledning: Automation integreras med Azure RBAC för att hantera dess resurser. Med RBAC hanterar du Åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Vissa resurser har fördefinierade, inbyggda roller. Du kan inventera eller fråga dessa roller via verktyg som Azure CLI, Azure PowerShell eller Azure Portal.

Begränsa de behörigheter som du tilldelar till resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar JIT-metoden (just-in-time) för Azure AD PIM. Granska roller och tilldelningar med jämna mellanrum.

Använd inbyggda roller för att allokera behörigheter och skapa endast anpassade roller när det behövs.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-2: Skydda känsliga data

Vägledning: Begränsa åtkomsten till känsliga data med hjälp av Azure RBAC, nätverksbaserade åtkomstkontroller och kontroller som kryptering i specifika Azure-tjänster.

För konsekvens justerar du alla typer av åtkomstkontroll med din strategi för företagssegmentering. Informera din företagsstrategi om platsen för känsliga eller affärskritiska data och system.

Microsoft behandlar allt kundinnehåll på den underliggande Microsoft-hanterade plattformen som känsligt. Microsoft skyddar mot förlust och exponering av kunddata. Microsoft har standardkontroller och funktioner för dataskydd för att säkerställa att Azure-kunddata förblir säkra,

Ansvar: Kund

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontrollen använder du kryptering för att skydda data under överföring mot out-of-band-attacker som trafikinsamling. Använd kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Automation stöder datakryptering under överföring med TLS v1.2 eller senare.

Det här kravet är valfritt för trafik i privata nätverk, men är viktigt för trafik på externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan använda TLS v1.2 eller senare.

För fjärrhantering använder du SSH (Secure Shell) för Linux eller RDP (Remote Desktop Protocol) och TLS för Windows. Använd inte ett okrypterat protokoll. Inaktivera svaga chiffer och föråldrade SSL-, TLS- och SSH-versioner och protokoll.

Azure krypterar data under överföring mellan Azure-datacenter som standard.

Ansvar: Kund

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Automation vilande data för att skydda mot out-of-band-attacker som kommer åt underliggande lagring. Kryptering hjälper till att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data kan du implementera mer kryptering i vila på Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard och tillhandahåller även alternativ för att hantera dina egna nycklar. Kundhanterade nycklar uppfyller regelkraven för vissa Azure-tjänster.

Ansvar: Microsoft

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Automation:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Automation-kontovariabler ska krypteras Det är viktigt att aktivera kryptering av automationskontovariabeltillgångar när känsliga data lagras Granska, neka, inaktiverad 1.1.0

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Kontrollera att säkerhetsteamet har insyn i risker för tillgångar

Vägledning: Se till att bevilja säkerhetsteam säkerhetsläsarbehörigheter i din Azure-klientorganisation och prenumerationer, så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Övervakning av säkerhetsrisker kan vara ett centralt säkerhetsteams eller ett lokalt teams ansvar, beroende på hur du strukturerar ansvarsområden. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.

Du kan använda behörigheter för säkerhetsläsare brett för en hel klients rothanteringsgrupp eller omfångsbehörigheter för specifika hanteringsgrupper eller prenumerationer.

Obs! Insyn i arbetsbelastningar och tjänster kan kräva fler behörigheter.

Ansvar: Kund

AM-2: Kontrollera att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteamen har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Automation. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam. och tilldela den läsbehörighet till alla Automation-resurser. Du kan förenkla processen med en enda rolltilldelning på hög nivå i din prenumeration.

Använd taggar för dina Azure-resurser, resursgrupper och prenumerationer för att organisera dem logiskt i en taxonomi. Varje tagg består av ett namn- och värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Använd Azure Virtual Machine Inventory för att automatisera insamlingen av information om programvara på virtuella datorer (VM). Programnamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. För att få åtkomst till installationsdatum och annan information aktiverar du diagnostik på gästnivå och tar windows-händelseloggarna till en Log Analytics-arbetsyta.

Automation tillåter inte körning av ett program eller installation av programvara på dess resurser.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph för att fråga efter och identifiera resurser i prenumerationer. Du kan också använda Azure Monitor för att skapa regler som utlöser aviseringar när de identifierar en tjänst som inte har godkänts.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure AD innehåller följande användarloggar. Du kan visa loggarna i Azure AD rapportering. Du kan integrera med Azure Monitor, Microsoft Sentinel eller andra SIEM- och övervakningsverktyg för avancerade användningsfall för övervakning och analys.

  • Inloggningar – Innehåller information om användning av hanterade program och aktiviteter för användarinloggning.

  • Granskningsloggar – Ger spårning genom loggar för alla ändringar som görs av olika Azure AD funktioner. Granskningsloggar innehåller ändringar som gjorts i alla resurser i Azure AD. Ändringarna omfattar att lägga till eller ta bort användare, appar, grupper, roller och principer.

  • Riskfyllda inloggningar – en indikator för inloggningsförsök av någon som kanske inte är legitim ägare till ett användarkonto.

  • Användare som har flaggats för risk – en indikator för ett användarkonto som kan ha komprometterats.

Microsoft Defender för molnet kan också utlösa aviseringar om misstänkta aktiviteter, till exempel ett överdrivet antal misslyckade autentiseringsförsök eller om inaktuella konton.

Förutom grundläggande övervakning av säkerhetshygien kan Microsoft Defender för molnets hotskyddsmodul samla in mer djupgående säkerhetsaviseringar från:

  • Enskilda Azure-beräkningsresurser som virtuella datorer, containrar och App Service

  • Dataresurser som Azure SQL Database och Azure Storage

  • Azure-tjänstlager

Den här funktionen ger dig insyn i kontoavvikelser i enskilda resurser.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Du kan använda Azure Private Link för att ansluta virtuella nätverk till Automation på ett säkert sätt. Du kan använda Private Link med:

  • Webhooks

  • DSC-noder

  • Köra en runbook på en hybridarbetare som är ansluten till Azure Virtual Network

  • Uppdatera hanteringsnoder

Den här kontrollen gäller inte om du använder den färdiga tjänsten utan Hybrid Runbook Workers.

Om du använder Hybrid Runbook Worker som backas upp av virtuella Azure-datorer:

  • Aktivera undernätet som innehåller arbetarna med en nätverkssäkerhetsgrupp (NSG).

  • Konfigurera flödesloggar för att vidarebefordra loggar till ett lagringskonto för trafikgranskning.

Du kan också vidarebefordra NSG-flödesloggar till en Log Analytics-arbetsyta och använda Trafikanalys för att få insikter om ditt Azure-trafikflöde.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Automation-aktivitetsloggar är tillgängliga automatiskt. Loggarna innehåller alla PUT-, POST- och DELETE-åtgärder, men inte GET-åtgärder för dina Automation-resurser. Du kan använda aktivitetsloggar för att hitta fel vid felsökning eller för att övervaka hur användare ändrade resurser.

Aktivera Azure-resursloggar för Automation. Du kan använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.

Ansvar: Kund

LT-6: Konfigurera kvarhållning av loggar

Vägledning: Du kan vidarebefordra Automation-jobbdata till en Log Analytics-arbetsyta. Du kan ändra datakvarhållningen på Log Analytics-arbetsytan enligt organisationens efterlevnadsregler.

Använd Azure Storage-konton för långsiktig lagring eller arkiveringslagring.

Ansvar: Kund

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Du kan använda Azure Blueprints för att automatisera distribution och konfiguration av tjänster och programmiljöer. En enda skissdefinition kan innehålla Azure Resource Manager-mallar, RBAC-kontroller och principer.

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: Använd Microsoft Defender för molnet för att övervaka din konfigurationsbaslinje. Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säker konfiguration över Azure-beräkningsresurser, inklusive virtuella datorer och containrar.

Ansvar: Kund

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Använd Microsoft Defender för molnet och Azure Policy för att upprätta säkra konfigurationer för alla beräkningsresurser, inklusive virtuella datorer och containrar.

Ansvar: Kund

PV-6: Gör sårbarhetsbedömningar för programvara

Vägledning: Ej tillämpligt. Microsoft utför sårbarhetshantering på de underliggande system som stöder Automation.

Ansvar: Microsoft

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Du kan distribuera Automation till virtuella datorer eller via containerregister. Distribuera programuppdateringar snabbt för att åtgärda sårbarheter i programvara i operativsystem och program.

Använd Azure Automation Uppdateringshantering eller en lösning från tredje part för att installera de senaste säkerhetsuppdateringarna på dina virtuella Windows- och Linux-datorer. För virtuella Windows-datorer måste du aktivera Windows Update och ställa in den så att den uppdateras automatiskt.

Prioritera risker med hjälp av ett riskbedömningsprogram som Common Vulnerability Scoring System eller riskklassificeringar från ditt genomsökningsverktyg från tredje part. Använd den här kontexten för att skräddarsy din miljö för program som utgör en hög säkerhetsrisk och program som kräver hög drifttid.

För programvara från tredje part använder du en lösning för korrigeringshantering från tredje part eller System Center Uppdateringar Publisher för Configuration Manager. Automation använder eller kräver ingen programvara från tredje part.

Ansvar: Kund

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester eller red team-aktiviteter på dina Azure-resurser efter behov och se till att alla kritiska säkerhetsresultat åtgärdas.

Följ Microsoft Cloud Penetration Testing Rules of Engagement för att se till att dina intrångstester inte bryter mot Microsofts principer. Använd Microsofts red teamindelningsstrategi och körning. Utför intrångstester på livewebbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och program.

Ansvar: Kund

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Se till att köra regelbundna automatiserade säkerhetskopieringar

Vägledning: Azure Automation tillhandahåller ingen intern säkerhetskopieringsmekanism. Det är ditt ansvar att se till att du har en giltig säkerhetskopia av Automation-konfigurationen, till exempel runbooks och tillgångar.

Du kan använda Azure Resource Manager för att distribuera Automation-konton och relaterade resurser. Du kan exportera Azure Resource Manager mallar som ska användas som säkerhetskopior för att återställa Automation-konton och relaterade resurser. Använd Automation för att anropa Export-API:et för Azure Resource Manager-mall regelbundet.

Du kan också använda funktionen för källkontrollintegrering för att hålla runbooks i Automation-kontot uppdaterade med skript på lagringsplatsen för källkontroll.

Ansvar: Kund

BR-3: Verifiera alla säkerhetskopior, inklusive kundhanterade nycklar

Vägledning: Kontrollera regelbundet att du kan återställa säkerhetskopierade kundhanterade nycklar.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Se till att du har åtgärder för att förhindra och återställa från nyckelförlust. Aktivera mjuk borttagning och rensningsskydd i Azure Key Vault som skydd mot oavsiktlig eller skadlig borttagning.

Ansvar: Kund

Nästa steg