Bewährte Methoden für die Sicherheit in Azure Automation

Wichtig

Ausführende Azure Automation-Konten, einschließlich der klassischen ausführenden Konten, wurden am 30. September 2023 eingestellt und durch Managed Identities ersetzt. Sie können keine ausführenden Konten mehr über das Azure-Portal erstellen oder verlängern. Weitere Informationen finden Sie unter Migration von vorhandenen ausführenden Konten zur verwalteten Identität.

In diesem Artikel werden die bewährten Methoden zum sicheren Ausführen der Automatisierungsaufträge beschrieben. Azure Automation bietet Ihnen die Plattform zum Orchestrieren häufiger, zeitaufwändiger, fehleranfälliger Infrastrukturverwaltungs- und -betriebsaufgaben sowie unternehmenskritischer Vorgänge. Mit diesem Dienst können Sie Skripts, sogenannte Automatisierungs-Runbooks, nahtlos in Cloud- und Hybridumgebungen ausführen.

Die Plattformkomponenten des Azure Automation Service sind aktiv gesichert und gehärtet. Der Dienst durchläuft robuste Sicherheits- und Konformitätsprüfungen. Die Microsoft-Benchmark für Cloudsicherheit liefert die bewährten Methoden und Empfehlungen, um die Sicherheit von Workloads, Daten und Diensten in Azure zu verbessern. Weitere Informationen finden Sie unter Azure-Sicherheitsbaseline für Azure Automation.

Sichere Konfiguration des Automation-Kontos

Dieser Abschnitt führt Sie durch die sichere Konfiguration Ihres Automation-Kontos.

Berechtigungen

  1. Befolgen Sie das Prinzip der geringsten Rechte, um die Arbeit zu erledigen, wenn Sie Zugriff auf Automation-Ressourcen gewähren. Implementieren Sie präzise RBAC-Rollen für Automation, und vermeiden Sie die Zuweisung umfassenderer Rollen oder Bereiche wie Abonnementebene. Wenn Sie benutzerdefinierte Rollen erstellen, schließen Sie nur die Berechtigungen ein, die Benutzer benötigen. Durch das Einschränken von Rollen und Bereichen begrenzen Sie die Ressourcen, die bei einer Kompromittierung des Sicherheitsprinzipals gefährdet sind. Ausführliche Informationen zu Konzepten der rollenbasierten Zugriffssteuerung finden Sie unter Bewährte Methoden für die rollenbasierte Zugriffssteuerung in Azure.

  2. Vermeiden Sie Rollen, die Aktionen mit einem Platzhalter (*) enthalten, da dieser Vollzugriff auf die Automation-Ressource oder eine Unterressource impliziert, z. B. automationaccounts/*/read. Verwenden Sie stattdessen spezifische Aktionen nur für die erforderliche Berechtigung.

  3. Konfigurieren Sie den rollenbasierten Zugriff auf Runbookebene, wenn der Benutzer keinen Zugriff auf alle Runbooks im Automation-Konto benötigt.

  4. Begrenzen Sie die Anzahl hoch privilegierten Rollen, z. B. „Automation-Mitwirkender“, um das Risiko von Sicherheitsverletzungen durch einen kompromittierten Besitzer zu verringern.

  5. Verwenden Sie Microsoft Entra Privileged Identity Management, um die privilegierten Konten vor böswilligen Cyberangriffen zu schützen und um Ihre Erkenntnisse über deren Verwendung durch Berichte und Warnungen zu erhöhen.

Schützen der „Hybrid Runbook Worker“-Rolle

  1. Installieren Sie Hybrid Worker mithilfe der Hybrid Runbook Worker-VM-Erweiterung, die keine Abhängigkeit vom Log Analytics-Agent besitzt. Wir empfehlen diese Plattform, da sie Microsoft Entra ID-basierte Authentifizierung nutzt. Mit dem Hybrid Runbook Worker-Feature von Azure Automation können Sie Runbooks direkt auf dem Computer ausführen, auf dem die Rolle auf einem Azure- oder Nicht-Azure-Computer gehostet wird, um Automation-Aufträge in der lokalen Umgebung auszuführen.

    • Verwenden Sie nur Benutzer mit hohen Berechtigungen oder benutzerdefinierte „Hybrid Worker“-Rollen für Benutzer, die für die Verwaltung von Vorgängen wie das Registrieren oder Aufheben der Registrierung von Hybrid Workern und Hybridgruppen und das Ausführen von Runbooks für Hybrid Runbook Worker-Gruppen verantwortlich sind.
    • Derselbe Benutzer würde auch „VM-Mitwirkender“-Zugriff auf den Computer benötigen, auf dem die „Hybrid Worker“-Rolle ausgeführt wird. Da es sich beim „VM-Mitwirkenden“ um eine Rolle mit hohen Berechtigungen handelt, stellen Sie sicher, dass nur eine Gruppe von Benutzern mit begrenzten Rechten Zugriff auf die Verwaltung von Hybrid Workern hat, wodurch sich das Risiko von Sicherheitsverletzungen durch einen kompromittierten Besitzer verringert.

    Befolgen Sie die bewährten Methoden für Azure RBAC.

  2. Befolgen Sie das Prinzip der geringsten Rechte, und gewähren Sie Benutzern nur die erforderlichen Berechtigungen für die Runbookausführung für einen Hybrid Worker. Gewähren Sie dem Computer, der die „Hybrid Runbook Worker“-Rolle hostet, keine uneingeschränkten Berechtigungen. Bei uneingeschränktem Zugriff kann ein Benutzer mit den „VM-Mitwirkender“-Rechten oder mit Berechtigungen zum Ausführen von Befehlen auf dem „Hybrid Worker“-Computer das Zertifikat für das ausführende Automation-Konto von dem „Hybrid Worker“-Computer verwenden und könnte potenziell einem böswilligen Benutzer den Zugriff als Abonnementmitwirkender ermöglichen. Dies kann die Sicherheit Ihrer Azure-Umgebung gefährden. Verwenden Sie benutzerdefinierte „Hybrid Worker“-Rollen für Benutzer, die für die Verwaltung von Automation-Runbooks für Hybrid Runbook Worker und Hybrid Runbook Worker-Gruppen verantwortlich sind.

  3. Aufheben der Registrierung aller nicht verwendeten oder nicht reagierenden Hybrid Worker.

Authentifizierungszertifikat und Identitäten

  1. Für die Runbookauthentifizierung wird empfohlen, anstelle von ausführenden Konten Verwaltete Identitäten zu verwenden. Die ausführenden Konten stellen einen Verwaltungsmehraufwand dar, weshalb wir ihre Einstellung planen. Eine verwaltete Identität von Microsoft Entra ID ermöglicht es Ihrem Runbook, einfach auf andere durch Microsoft Entra geschützte Ressourcen wie Azure Key Vault zuzugreifen. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren. Weitere Informationen zu verwalteten Identitäten in Azure Automation finden Sie unter Verwaltete Identitäten für Azure Automation.

    Sie können ein Automation-Konto mit zwei Arten verwalteter Identitäten authentifizieren:

    • Eine systemseitig zugewiesene Identität ist an Ihre Anwendung gebunden und wird gelöscht, wenn Ihre App gelöscht wird. Eine App kann nur über eine systemseitig zugewiesene Identität verfügen.
    • Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrer App zugewiesen werden kann. Eine App kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.

    Weitere Informationen finden Sie in den Empfehlungen zu bewährten Methoden für verwaltete Identitäten.

  2. Rotieren Sie die Azure Automation-Schlüssel regelmäßig. Durch die Neugenerierung der Schlüssel wird verhindert, dass bei zukünftigen DSC- oder „Hybrid Worker“-Knotenregistrierungen vorherige Schlüssel verwendet werden. Es wird empfohlen, die erweiterungsbasierten Hybrid Worker zu verwenden, die Microsoft Entra-Authentifizierung anstelle von Automation-Schlüsseln verwenden. Microsoft Entra ID zentralisiert die Steuerung und Verwaltung von Identitäten und Ressourcenanmeldeinformationen.

Datensicherheit

  1. Sichern Sie die Ressourcen in Azure Automation, einschließlich Anmeldeinformationen, Zertifikaten, Verbindungen und verschlüsselter Variablen. Diese Ressourcen werden in Azure Automation mithilfe mehrerer Verschlüsselungsstufen geschützt. Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Für eine zusätzliche Kontrolle über die Verschlüsselungsschlüssel können Sie kundenseitig verwaltete Schlüssel bereitstellen, mit denen Automation-Ressourcen verschlüsselt werden können. Diese Schlüssel müssen in Azure Key Vault vorhanden sein, damit der Automation-Dienst auf die Schlüssel zugreifen kann. Siehe Verschlüsselung sicherer Ressourcen mit kundenseitig verwalteten Schlüsseln.

  2. Geben Sie keine Anmeldeinformationen oder Zertifikatdetails in der Auftragsausgabe aus. Ein „Automation-Auftragsoperator“, bei dem es sich um den Benutzer mit niedrigen Berechtigungen handelt, kann die vertraulichen Informationen anzeigen.

  3. Verwalten Sie eine gültige Sicherung der Automation-Konfiguration wie Runbooks und Ressourcen, um sicherzustellen, dass Sicherungen überprüft und geschützt werden, damit die Geschäftskontinuität nach einem unerwarteten Ereignis gewährleistet ist.

Netzwerkisolation

  1. Verwenden Sie Azure Private Link, um Hybrid Runbook Worker sicher mit Azure Automation zu verbinden. Ein privater Endpunkt in Azure ist eine Netzwerkschnittstelle, die Sie privat und sicher mit einem von Azure Private Link unterstützten Azure Automation-Dienst verbindet. Der private Endpunkt verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk (VNet), um den Automation-Dienst effektiv in Ihr VNet einzubinden.

Wenn Sie andere Dienste über Runbooks aus dem Azure-VNet privat verwalten und darauf zugreifen möchten, ohne eine ausgehende Verbindung mit dem Internet herstellen zu müssen, können Sie Runbooks auf einem Hybrid Worker ausführen, der mit dem Azure-VNet verbunden ist.

Richtlinien für Azure Automation

Überprüfen Sie die Azure Policy-Empfehlungen für Azure Automation und handeln Sie entsprechend. Siehe Azure Automation-Richtlinien.

Nächste Schritte