Gerenciamento de dados da Automação do Azure
Este artigo contém vários tópicos explicando como os dados são protegidos em um ambiente da Automação do Azure.
TLS para Automação do Azure
Para garantir a segurança dos dados em trânsito para a Automação do Azure, incentivamos fortemente que você configure o uso do protocolo TLS. Veja a seguir uma lista de métodos ou clientes que se comunicam por HTTPS com o serviço de automação:
Chamadas de webhook
Hybrid Runbook Workers do usuário (baseado em extensão e baseado em agente)
Computadores gerenciados pelo Gerenciamento de atualizações da Automação do Azure e Controle de alterações e inventário da Automação do Azure
Nós DSC de Automação do Azure
Constatou-se que versões mais antigas do protocolo TLS/protocolo SSL eram vulneráveis e embora elas ainda funcionem no momento para permitir a compatibilidade com versões anteriores, elas não são recomendadas. Não é recomendável definir explicitamente o agente para usar somente o TLS 1.2, a menos que necessário, pois ele pode separar os recursos de segurança em nível de plataforma que permitem que você detecte e use os protocolos mais seguros e mais recentes assim que estiverem automaticamente disponíveis como o protocolo TLS 1.3.
Para obter mais informações sobre o suporte ao protocolo com o agente do Log Analytics para Windows e Linux, que é uma dependência para a função Hybrid Runbook Worker, confira Visão geral do agente do Log Analytics — TLS.
Atualizar o protocolo TLS para chamadas de Hybrid Workers e Webhook
A partir de 31 de outubro de 2024, todos os Hybrid Runbook Workers do usuário baseados em agente e extensão, Webhooks, nós DSC e Gerenciamento de atualizações da Automação do Azure e computadores gerenciados de Controle de Alterações, usando protocolos TLS (Transport Layer Security) 1.0 e 1.1, não poderão mais se conectar à Automação do Azure. Todos os trabalhos em execução ou agendados em Hybrid Workers usando os protocolos TLS 1.0 e 1.1 irão falhar.
Certifique-se de que as chamadas do Webhook que disparam runbooks navegam usando o TLS 1.2 ou superior. Saiba como desabilitar protocolos TLS 1.0/1.1 no Windows Hybrid Worker e habilitar o TLS 1.2 ou superior no computador Windows.
Para os Hybrid Workers do Linux, execute o script Python a seguir para atualizar para o protocolo TLS mais recente.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Diretrizes específicas da plataforma
Plataforma/linguagem | Suporte | Mais informações |
---|---|---|
Linux | Distribuições do Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique as OpenSSL Changelog para confirmar a sua versão do OpenSSL é suportada. |
Windows 8.0 - 10 | Suporte e habilitado por padrão. | Para confirmar que você ainda está usando o as configurações padrão. |
Windows Server 2012 - 2016 | Suporte e habilitado por padrão. | Para confirmar que você ainda está usando o as configurações padrão |
Windows Server 7 SP1 e Windows Server 2008 R2 SP1 | Com suporte, mas não habilitado por padrão. | Consulte a página configurações do registro de segurança de camada de transporte (TLS) para obter detalhes sobre como habilitar. |
Retenção de dados
Quando você exclui um recurso na Automação do Azure, ele é mantido por vários dias para fins de auditoria antes da remoção permanente. Você não pode ver nem usar o recurso durante esse período. Essa política também se aplica aos recursos que pertencem a uma conta da Automação excluída. A política de retenção se aplica a todos os usuários e atualmente não pode ser personalizada. No entanto, se você precisar manter os dados por um longo período, poderá encaminhar os dados do trabalho de Automação do Azure para os logs do Azure Monitor.
A tabela a seguir resume a política de retenção para diferentes recursos.
Dados | Política |
---|---|
Contas | Uma conta é removida permanentemente 30 dias depois que um usuário a exclui. |
Ativos | Um ativo é removido permanentemente 30 dias depois que é excluído por um usuário, ou 30 dias depois que a conta que o contém é excluída por um usuário. Os ativos incluem variáveis, agendas, credenciais, certificados, pacotes Python 2 e conexões. |
Nós DSC | Um nó DSC é removido permanentemente 30 dias após o cancelamento do registro de uma conta da Automação usando o portal do Azure ou o cmdlet Unregister-AzAutomationDscNode no Windows PowerShell. Um nó também é removido permanentemente 30 dias após um usuário excluir a conta que o contém. |
Trabalhos | Um trabalho é excluído e removido permanentemente 30 dias após a modificação, por exemplo, depois que o trabalho é concluído, interrompido ou suspenso. |
Módulos | Um módulo é removido permanentemente 30 dias depois que é excluído por um usuário, ou 30 dias depois que a conta que o contém é excluída por um usuário. |
Arquivos de configurações/MOF de nó | Uma configuração de nó antigo é removida permanentemente 30 dias depois que uma nova configuração de nó é gerada. |
Relatórios de Nó | Um relatório de nó é removido de forma permanente 90 dias depois que um novo relatório é gerado para esse nó. |
Runbooks | Um runbook é removido permanentemente 30 dias depois que é excluído por um usuário ou 30 dias depois que a conta que contém o recurso 1 é excluída por um usuário. |
1 O runbook pode ser recuperado dentro do período de 30 dias, criando um incidente do Suporte do Azure com o Suporte do Microsoft Azure. Acesse o site do Suporte do Azure e selecione Enviar uma solicitação de suporte.
Backup de dados
Quando você exclui uma conta da Automação no Azure, todos os objetos na conta são excluídos. Os objetos incluem runbooks, módulos, configurações, definições, trabalhos e ativos. Você pode recuperar uma conta de Automação excluída dentro de 30 dias. Você também pode usar as seguintes informações para fazer backup do conteúdo da sua conta de Automação antes de excluí-la:
Runbooks
Você pode exportar seus runbooks para arquivos de script usando o Portal do Azure ou o cmdlet Get-AzureAutomationRunbookDefinition no Windows PowerShell. Você pode importar esses arquivos de script para outra conta da Automação, conforme discutido em Gerenciar runbooks na Automação do Azure.
Módulos de integração
Você não pode exportar módulos de integração da Automação do Azure, eles precisam ser disponibilizados fora da conta de automação.
Ativos
Você não pode exportar ativos da Automação do Azure: certificados, conexões, credenciais, agendamentos e variáveis. Em vez disso, você pode usar o portal do Azure e os cmdlets do Azure para observar os detalhes desses ativos. Em seguida, use esses detalhes para criar quaisquer ativos usados pelos runbooks importados para outra conta da Automação.
Não é possível recuperar os valores de variáveis criptografadas, nem os campos de senha de credenciais usando cmdlets. Se você não souber esses valores, poderá recuperá-los em um runbook. Para recuperar valores de variáveis, confira Recursos variáveis na Automação do Azure. Para saber mais sobre como recuperar valores de credenciais, confira Recursos de credenciais na Automação do Azure.
Configurações DSC
Você pode exportar suas configurações DSC para arquivos de script usando o portal do Azure ou o cmdlet Export-AzAutomationDscConfiguration no Windows PowerShell. Você pode importar e usar essas configurações em outra conta da Automação.
Residência de dadosResidência de dados
Especifique uma região durante a criação de uma conta de Automação do Azure. Dados de serviço, como ativos, configuração, logs são armazenados nessa região e podem transitar ou ser processados em outras regiões dentro da mesma área geográfica. Esses pontos de extremidade globais são necessários para fornecer aos usuários finais uma experiência de alto desempenho e baixa latência, independentemente do local. Somente para a região Sul do Brasil (Estado de São Paulo) da geografia do Brasil, região do Sudeste Asiático (Singapura) e Região Leste da Ásia (Hong Kong) da geografia do Pacífico Asiático, armazenamos dados da Automação do Azure na mesma região para acomodar os requisitos de residência de dados para essas regiões.
Próximas etapas
- Para saber mais sobre as diretrizes de segurança, confira as Práticas recomendadas de segurança na Automação do Azure.
- Para saber mais sobre ativos seguros na Automação do Azure, confira Criptografia de ativos seguros na Automação do Azure.
- Para saber mais sobre a replicação geográfica, confira Criar e usar a replicação geográfica ativa.