Azure Otomasyonu'da en iyi güvenlik uygulamaları

  • Makale

Önemli

Azure Otomasyonu Klasik Farklı Çalıştır hesapları da dahil olmak üzere Farklı çalıştır hesapları 30 Eylül 2023'te kullanımdan kaldırıldı ve yerine Yönetilen Kimlikler kullanıldı. Artık Azure portalı üzerinden Farklı çalıştır hesapları oluşturamaz veya yenileyemezsiniz. Daha fazla bilgi için bkz. Mevcut Farklı Çalıştır hesaplarından yönetilen kimliğe geçiş.

Bu makalede, otomasyon işlerini güvenli bir şekilde yürütmek için en iyi yöntemler açıklanır. Azure Otomasyonu size sık kullanılan, zaman alan, hataya açık altyapı yönetimi ve operasyonel görevlerin yanı sıra görev açısından kritik işlemleri düzenleme platformu sağlar. Bu hizmet, otomasyon runbook'ları olarak bilinen betikleri bulut ve karma ortamlarda sorunsuz bir şekilde yürütmenizi sağlar.

Azure Otomasyonu Hizmeti'nin platform bileşenleri etkin bir şekilde güvenli ve sağlamlaştırılmıştır. Hizmet, sağlam güvenlik ve uyumluluk denetimlerini gerçekleştirir. Microsoft bulut güvenliği karşılaştırması, Azure'da iş yüklerinin, verilerin ve hizmetlerin güvenliğini iyileştirmeye yardımcı olacak en iyi yöntemleri ve önerileri ayrıntılarıyla açıklar. Ayrıca bkz. Azure Otomasyonu için Azure güvenlik temeli.

Otomasyon hesabının güvenli yapılandırması

Bu bölüm, Otomasyon hesabınızı güvenli bir şekilde yapılandırma konusunda size yol gösterir.

İzinler

  1. Otomasyon kaynaklarına erişim izni verirken işi yapmak için en az ayrıcalık ilkesini izleyin. Otomasyon ayrıntılı RBAC rollerini uygulayın ve abonelik düzeyi gibi daha geniş roller veya kapsamlar atamaktan kaçının. Özel rolleri oluştururken yalnızca kullanıcıların ihtiyaç duyduğu izinleri ekleyin. Rolleri ve kapsamları sınırlayarak, güvenlik sorumlusunun gizliliği ihlal edilirse risk altındaki kaynakları sınırlandırmış olursunuz. Rol tabanlı erişim denetimi kavramları hakkında ayrıntılı bilgi için bkz . Azure rol tabanlı erişim denetimi en iyi yöntemleri.

  2. Otomasyon kaynağına veya bir alt kaynağa tam erişim (örneğin automationaccounts/*/read) anlamına gelen bir joker karaktere (*) sahip eylemler içeren rollerden kaçının. Bunun yerine, yalnızca gerekli izin için belirli eylemleri kullanın.

  3. Kullanıcı Otomasyon hesabındaki tüm runbook'lara erişim gerektirmiyorsa rol tabanlı erişimi runbook düzeyinde yapılandırın.

  4. Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için Otomasyon Katkıda Bulunanı gibi yüksek ayrıcalıklı rollerin sayısını sınırlayın.

  5. Raporlar ve uyarılar aracılığıyla kullanımlarına ilişkin görünürlüğünüzü artırmak için ayrıcalıklı hesapları kötü amaçlı siber saldırılara karşı korumak için Microsoft Entra Privileged Identity Management'ı kullanın.

Karma Runbook çalışan rolünün güvenliğini sağlama

  1. Log Analytics aracısı üzerinde herhangi bir bağımlılığı olmayan Karma Runbook Çalışanı VM uzantısını kullanarak Karma çalışanları yükleyin. Microsoft Entra Id tabanlı kimlik doğrulamadan yararlandığı için bu platformu öneririz. Azure Otomasyonu Karma Runbook Çalışanı özelliği, yerel ortamda Otomasyon işlerini yürütmek için runbook'ları doğrudan Azure'da veya Azure olmayan makinede rolü barındıran makinede yürütmenize olanak tanır.

    • Karma çalışanları ve karma grupları kaydetme veya kaydını kaldırma ve Karma runbook çalışan gruplarına karşı runbook'ları yürütme gibi işlemleri yönetmekle sorumlu kullanıcılar için yalnızca yüksek ayrıcalıklı kullanıcıları veya Karma çalışanı özel rollerini kullanın.
    • Aynı kullanıcı, Karma çalışan rolünü barındıran makinede VM katkıda bulunanı erişimi de gerektirebilir. VM katkıda bulunanı yüksek ayrıcalıklı bir rol olduğundan, karma işleri yönetmek için yalnızca sınırlı bir sağ kullanıcı kümesinin erişimi olduğundan emin olun; böylece güvenliği aşılmış bir sahibin ihlal etme olasılığı azalır.

    Azure RBAC en iyi yöntemlerini izleyin.

  2. En az ayrıcalık ilkesini izleyin ve karma çalışana karşı runbook yürütmesi için kullanıcılara yalnızca gerekli izinleri verin. Karma runbook çalışanı rolünü barındıran makineye sınırsız izinler sağlamayın. Sınırsız erişim söz konusu olduğunda, VM Katkıda Bulunanı haklarına sahip olan veya karma çalışan makinesinde komut çalıştırma izinlerine sahip bir kullanıcı karma çalışan makinesinden Otomasyon Hesabı Farklı Çalıştır sertifikasını kullanabilir ve kötü amaçlı bir kullanıcının abonelik katkıda bulunanı olarak erişmesine izin verebilir. Bu, Azure ortamınızın güvenliğini tehlikeye atabilir. Karma runbook çalışanlarına ve Karma runbook çalışan gruplarına karşı Otomasyon runbook'larını yönetmekle sorumlu kullanıcılar için Karma çalışan özel rollerini kullanın.

  3. Kullanılmayan veya yanıt vermeyen karma çalışanların kaydını kaldırın.

Kimlik doğrulama sertifikası ve kimlikler

  1. Runbook kimlik doğrulaması için Farklı Çalıştır hesapları yerine Yönetilen kimlikler kullanmanızı öneririz. Farklı Çalıştır hesapları yönetim yükündendir ve bunları kullanımdan kaldırmayı planlıyoruz. Microsoft Entra Id'den yönetilen kimlik, runbook'unuzun Azure Key Vault gibi diğer Microsoft Entra korumalı kaynaklarına kolayca erişmesini sağlar. Kimlik Azure platformu tarafından yönetilir ve herhangi bir gizli dizi sağlamanızı veya döndürmenizi gerektirmez. Azure Otomasyonu yönetilen kimlikler hakkında daha fazla bilgi için bkz. Azure Otomasyonu için yönetilen kimlikler

    İki tür yönetilen kimlik kullanarak Otomasyon hesabının kimliğini doğrulayabilirsiniz:

    • Sistem tarafından atanan kimlik uygulamanıza bağlıdır ve uygulamanız silinirse silinir. Bir uygulama sistem tarafından atanan yalnızca bir kimliğe sahip olabilir.
    • Kullanıcı tarafından atanan kimlik , uygulamanıza atanabilen tek başına bir Azure kaynağıdır. Bir uygulama için kullanıcı tarafından atanan birden çok kimlik olabilir.

    Daha fazla ayrıntı için Yönetilen kimlik en iyi yöntem önerilerini izleyin.

  2. Azure Otomasyonu tuşlarını düzenli aralıklarla döndürün. Anahtar yeniden oluşturma, gelecekteki DSC veya karma çalışan düğümü kayıtlarının önceki anahtarları kullanmasını engeller. Otomasyon anahtarları yerine Microsoft Entra kimlik doğrulamasını kullanan Uzantı tabanlı karma çalışanları kullanmanızı öneririz. Microsoft Entra ID, kimliklerin ve kaynak kimlik bilgilerinin denetimini ve yönetimini merkezileştirir.

Veri güvenliği

  1. Kimlik bilgileri, sertifikalar, bağlantılar ve şifrelenmiş değişkenler dahil olmak üzere Azure Otomasyonu varlıkların güvenliğini sağlayın. Bu varlıklar, birden çok şifreleme düzeyi kullanılarak Azure Otomasyonu korumalıdır. Varsayılan olarak, veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Şifreleme anahtarları üzerinde ek denetim için Otomasyon varlıklarının şifrelenmesini sağlamak üzere müşteri tarafından yönetilen anahtarlar sağlayabilirsiniz. Anahtarlara erişebilmek için bu anahtarların Otomasyon hizmeti için Azure Key Vault'ta bulunması gerekir. Bkz . Müşteri tarafından yönetilen anahtarları kullanarak güvenli varlıkları şifreleme.

  2. İş çıktısında hiçbir kimlik bilgisi veya sertifika ayrıntısı yazdırmayın. Düşük ayrıcalıklı kullanıcı olan bir Otomasyon iş işleci hassas bilgileri görüntüleyebilir.

  3. Beklenmeyen bir olaydan sonra iş sürekliliğini korumak için yedeklemelerin doğrulandığından ve korunduğundan emin olmak için runbook'lar ve varlıklar gibi Otomasyon yapılandırmasının geçerli bir yedeğini koruyun.

Ağ yalıtımı

  1. Karma runbook çalışanlarını Azure Otomasyonu güvenli bir şekilde bağlamak için Azure Özel Bağlantı kullanın. Azure Özel Uç Noktası, sizi özel ve güvenli bir şekilde Azure Özel Bağlantı tarafından desteklenen bir Azure Otomasyonu hizmetine bağlayan bir ağ arabirimidir. Özel Uç Nokta, Otomasyon hizmetini sanal ağınıza etkili bir şekilde getirmek için Sanal Ağ 'nizden (VNet) bir özel IP adresi kullanır.

İnternet'e giden bağlantı açmanıza gerek kalmadan Azure sanal ağından runbook'lar aracılığıyla diğer hizmetlere özel olarak erişmek ve bu hizmetleri yönetmek istiyorsanız, Azure sanal ağından bağlı bir Karma Çalışanı üzerinde runbook'ları yürütebilirsiniz.

Azure Otomasyonu için ilkeler

Azure Otomasyonu için Azure İlkesi önerilerini gözden geçirin ve uygun şekilde davranın. bkz. Azure Otomasyonu ilkeleri.

Sonraki adımlar

  • Azure rol tabanlı erişim denetimini (Azure RBAC) kullanmayı öğrenmek için bkz. Azure Otomasyonu rol izinlerini ve güvenliğini yönetme.
  • Azure'ın gizliliğinizi nasıl koruduğu ve verilerinizin güvenliğini nasıl koruduğu hakkında bilgi için bkz. veri güvenliğini Azure Otomasyonu.
  • Otomasyon hesabını şifreleme kullanacak şekilde yapılandırma hakkında bilgi edinmek için bkz. Azure Otomasyonu'de güvenli varlıkları şifreleme.