Azure 自動化的安全性最佳做法

重要

Azure 自動化執行身分帳戶 (包括傳統執行身分帳戶) 已在 2023 年 9 月 30 日淘汰，並以受控識別取代。 您無法再透過 Azure 入口網站建立或更新執行身分帳戶。 如需詳細資訊，請參閱 從現有的執行身分帳戶移轉至受控識別。

本文詳細說明安全執行自動化作業的最佳做法。 Azure 自動化提供平台來協調頻率、耗時、易出錯的基礎結構管理和操作工作，以及任務關鍵性作業。 此服務可讓您在雲端和混合式環境中執行指令碼 (稱為自動化 Runbook)。

Azure 自動化的平台元件會主動受到保護並強化。 服務會進行強固安全性和合規性檢查。 Microsoft 雲端安全性基準詳細說明最佳做法和建議，以協助改善 Azure 上工作負載、資料和服務的安全性。 另請參閱適用於 Azure 自動化的 Azure 安全性基準。

安全設定自動化帳戶

本節將引導您安全設定您的自動化帳戶。

權限

1. 遵循最低權限原則，在授與自動化資源存取權時完成工作。 實作自動化細微 RBAC 角色，並避免指派更廣泛的角色或範圍，例如訂用帳戶層級。 建立自訂角色時，只包含使用者需要的權限。 藉由限制角色和範圍，萬一安全性主體遭到入侵時，承受風險的資源仍可得到控制。 如需角色型存取控制概念的詳細資訊，請參閱Azure 角色型存取控制最佳做法。

2. 避免包含具有萬用字元 (*) 動作的角色，因為這表示自動化資源或子資源的完整存取權，例如automationaccounts/*/read。 改為使用僅針對必要權限的特定動作。

3. 如果使用者不需要自動化帳戶中所有 Runbook 的存取權，請在 Runbook 層級設定角色型存取。

4. 限制高特殊權限角色數目 (例如自動化參與者)，進而減少遭入侵擁有者可能造成的危害。

5. 使用 Microsoft Entra Privileged Identity Management 來保護特殊權限帳戶免於惡意網路攻擊，透過報告和警示讓您清楚瞭解其使用方式。

保護混合式 Runbook 背景工作角色

1. 使用 混合式 Runbook 背景工作角色 VM 擴充功能來安裝混合式背景工作角色，其背景工作角色在 Log Analytics 代理程式上沒有相依性。 建議此平台，因為其會利用 Microsoft Entra ID 型驗證。 Azure 自動化的混合式 Runbook 背景工作角色功能可讓您直接在裝載 Azure 或非 Azure 電腦中角色的電腦上直接執行 Runbook，進而在本機環境中執行自動化作業。

   • 針對負責管理作業的使用者，使用高權限使用者或混合式背景工作角色自訂角色，管理作業範例如下：註冊或取消註冊混合式背景工作角色和混合式群組，以及針對混合式 Runbook 背景工作角色群組執行 Runbook。
   • 相同使用者也會需要裝載混合式背景工作角色電腦的 VM 參與者存取權。 由於 VM 參與者是高權限角色，因此請確保僅一組正確的使用者有權管理混合式工作，藉以減少遭入侵擁有者可能造成的危害。

   請遵循 Azure RBAC 最佳做法。

2. 請遵循最低權限原則，並僅將必要權限授與使用者以針對混合式背景工作角色執行 Runbook。 請勿將不受限制的權限提供給裝載 Runbook 背景工作角色的電腦。 若存取不受限制，則具有 VM 參與者權限的使用者或有權針對混合式背景工作角色電腦執行命令的使用者，可使用混合式背景工作角色電腦的自動化帳戶執行身分憑證，並可潛在允許惡意使用者以訂用帳戶參與者身分進行存取。 這可能會危害 Azure 環境的安全性。 若使用者負責針對混合式 Runbook 背景工作角色和混合式 Runbook 背景工作角色群組來管理自動化 Runbook，請使用混合式背景工作角色自訂角色。

3. 取消註冊未使用或未回應的混合式背景工作角色。

驗證認證和身分識別

1. 針對 Runbook 驗證，建議您使用受控識別，而不是執行身分帳戶。 執行身分帳戶是系統管理額外負荷，我們計劃進行淘汰。 Microsoft Entra ID 的受控識別，可讓 Runbook 輕鬆存取其他受到 Microsoft Entra 保護的資源 (例如 Azure Key Vault)。 身分識別由 Azure 平台負責管理，因此您不需要佈建或輪替任何密碼。 如需 Azure 自動化中受控識別的詳細資訊，請參閱 Azure 自動化的受控識別

   您可使用兩種類型的受控識別來驗證自動化帳戶：

   • 系統指派的身分識別會繫結至您的應用程式，如果您的應用程式已刪除，則會被刪除。 應用程式只能有一個系統指派的身分識別。
   • 使用者指派的身分識別是一項獨立 Azure 資源，可指派給您的應用程式。 應用程式可以有多個使用者指派的身分識別。

   如需詳細資料，請遵循受控識別最佳做法建議。

2. 定義輪替 Azure 自動化金鑰。 金鑰重新產生可避免未來註冊 DSC 或混合式背景工作角色節點時使用先前的金鑰。 建議使用延伸模組型混合式背景工作角色以使用 Microsoft Entra 驗證，而非自動化金鑰。 Microsoft Entra ID 會集中控制和管理身分識別與資源認證。

資料安全性

1. 保護 Azure 自動化中的資產，包括認證、憑證、連接和加密的變數。 這些資產會在 Azure 自動化中使用多層級加密進行保護。 根據預設，資料是以使用 Microsoft 管理的金鑰加密。 若要進一步控制加密金鑰，您可提供客戶管理的金鑰，以用於加密自動化資產。 這些金鑰必須存在於 Azure Key Vault 中，自動化服務才能存取金鑰。 請參閱使用客戶自控金鑰來加密安全資產。

2. 請勿在作業輸出時列印認證或憑證詳細資料。 作為低權限使用者的自動化作業操作員可檢視敏感性資訊。

3. 維護有效的自動化備份設定 (例如 Runbook 和資產)，可確保備份經過驗證並受到保護，藉以在發生非預期事件之後維護商務持續性。

網路隔離

1. 使用 Azure Private Link 來安全將混合式 Runbook 背景工作角色連線至 Azure 自動化。 Azure 私人端點是一種網路介面，可讓您以私人且安全地方式連線至 Azure Private Link 所支援的 Azure 自動化服務。 私人端點會使用您虛擬網路 (VNet) 中的私人 IP 位址，有效將自動化服務帶入您的 Vnet 中。

如果您想要自 Azure VNet 透過 Runbook 私下存取和管理其他服務，而無須開啟網際網路的輸出連線，則您可在連線至 Azure VNet 的混合式背景工作角色上執行 Runbook。

Azure 自動化的原則

檢閱 Azure 自動化的 Azure 原則建議，並適當採取動作。 請參閱 Azure 自動化原則。

下一步

• 若要了解如何使用 Azure 角色型存取控制 (Azure RBAC)，請參閱管理 Azure 自動化中的角色權限與安全性。
• 如需 Azure 如何保護隱私權和保護資料的詳細資訊，請參閱 Azure 自動化資料安全性。
• 若要了解如何設定自動化帳戶以使用加密，請參閱 Azure 自動化中的安全資產加密。