Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra in dettaglio le procedure consigliate per eseguire in modo sicuro i processi di automazione. Automazione di Azure offre la piattaforma per orchestrare attività operative e di gestione dell'infrastruttura frequenti e soggette a errori, nonché operazioni cruciali. Questo servizio consente di eseguire script, noti come runbook di automazione in modo semplice in ambienti cloud e ibridi.
I componenti della piattaforma del servizio Automazione di Azure sono attivamente protetti e sottoposti a misure di hardening. Il servizio esegue controlli di sicurezza e conformità affidabili. Il benchmark di sicurezza cloud Microsoft illustra in dettaglio le procedure consigliate e le raccomandazioni per migliorare la sicurezza dei carichi di lavoro, dei dati e dei servizi in Azure. Vedere anche base di riferimento per la sicurezza di Azure per Automazione di Azure.
Configurazione sicura dell'account di Automazione
Questa sezione illustra come configurare l'account di Automazione in modo sicuro.
Autorizzazioni
Seguire il principio dei privilegi minimi per svolgere il lavoro quando si concede l'accesso alle risorse di Automazione. Implementa i ruoli RBAC granulari di Automazione ed evita di assegnare ruoli o ambiti più ampi, ad esempio a livello di sottoscrizione. Quando si creano i ruoli personalizzati, includere solo le autorizzazioni necessarie agli utenti. Limitando ruoli e ambiti, si limitano anche le risorse a rischio in caso di compromissione dell’entità di sicurezza. Per informazioni dettagliate sui concetti relativi al controllo degli accessi in base al ruolo, vedere le Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.
Evitare ruoli che includono Azioni con un carattere jolly (*) perché implica l'accesso completo alla risorsa di Automazione o a una sotto-risorsa, ad esempio automationaccounts/*/read. Usare invece azioni specifiche solo per l'autorizzazione richiesta.
Configurare l’accesso basato sul ruolo a livello di runbook se l'utente non necessita dell'accesso a tutti i runbook nell'account Automation.
Limitare il numero di ruoli con privilegi elevati, ad esempio Collaboratore Automazione, per ridurre il rischio di violazione da parte di un proprietario compromesso.
Usa Privileged Identity Management di Microsoft Entra per proteggere gli account privilegiati da attacchi informatici malevoli e aumentare la visibilità sul loro utilizzo tramite report e avvisi.
Protezione del ruolo del Runbook Worker ibrido
Installare i worker ibridi usando l'estensione VM Runbook Worker Ibrido che non ha alcuna dipendenza dall'agente Log Analytics. È consigliabile usare questa piattaforma perché sfrutta l'autenticazione basata su Microsoft Entra ID. La funzionalità Hybrid Runbook Worker di Automazione di Azure consente di eseguire i runbook direttamente nel computer che ospita il ruolo in Azure o in un computer non Azure, per eseguire i processi di Automazione di Azure nell'ambiente locale.
- Usare solo utenti con privilegi elevati o ruoli di lavoro ibrido personalizzati per gli utenti responsabili della gestione delle operazioni, ad esempio la registrazione o l'annullamento della registrazione di ruoli di lavoro ibridi e dei gruppi ibridi e l'esecuzione di runbook nei gruppi di ruoli di lavoro ibridi per runbook.
- Lo stesso utente richiederebbe anche l'accesso collaboratore della macchina virtuale nel computer che ospita il ruolo di lavoro ibrido. Poiché il collaboratore della macchina virtuale è un ruolo con privilegi elevati, assicurarsi che solo un set limitato di utenti abbia accesso per gestire il funzionamento ibrido, riducendo così il rischio di violazione da parte di un proprietario compromesso.
Attenersi alle procedure consigliate di Azure RBAC.
Seguire il principio del privilegio minimo e concedere agli utenti solo le autorizzazioni necessarie per eseguire runbook tramite un Hybrid Worker. Non concedere autorizzazioni illimitate alla macchina che ospita il ruolo di Hybrid Runbook Worker. In caso di accesso non limitato, un utente con il ruolo Collaboratore macchina virtuale oppure con autorizzazioni per eseguire comandi nel computer Hybrid Worker può usare il certificato Run As dell'account di Automazione dal computer Hybrid Worker e potrebbe potenzialmente consentire a un utente malintenzionato di ottenere l'accesso come Collaboratore della sottoscrizione. Ciò potrebbe compromettere la sicurezza dell'ambiente Azure. Usa ruoli personalizzati per i ruoli di lavoro ibridi per gli utenti che devono gestire i runbook di Automazione per gli Hybrid Runbook Worker e i gruppi di Hybrid Runbook Worker.
Annulla la registrazione di tutti i worker ibridi inutilizzati o che non rispondono.
Si consiglia vivamente di non configurare mai l'estensione Hybrid Worker in una macchina virtuale che ospita un controller di dominio. Le procedure consigliate per la sicurezza non consigliano una configurazione di questo tipo a causa della natura ad alto rischio dell'esposizione dei controller di dominio a potenziali vettori di attacco tramite processi di Automazione di Azure. I controller di dominio devono essere altamente protetti e isolati da servizi non essenziali per impedire l'accesso non autorizzato e mantenere l'integrità dell'ambiente Dominio di Active Directory Services (ADDS).
Certificato di autenticazione e identità
Per l'autenticazione del runbook, è consigliabile usare identità gestite. Un'identità gestita di Microsoft Entra ID consente al runbook di accedere facilmente ad altre risorse protette da Microsoft Entra, come Azure Key Vault. L'identità è gestita dalla piattaforma Azure e non richiede di creare o ruotare segreti. Per altre informazioni sulle identità gestite in Automazione di Azure, vedere Identità gestite per Automazione di Azure
È possibile autenticare un account di Automazione usando due tipi di identità gestite:
- Un'Identità assegnata dal sistema viene associata all'applicazione e viene eliminata in caso di eliminazione dell'app. A un'app può essere associata una sola identità assegnata dal sistema.
- Un'Identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata all'app. Un'app può avere più identità assegnate dall'utente.
Per altri dettagli, seguire le Raccomandazioni sulle procedure consigliate per le identità gestite.
Ruotare periodicamente le Chiavi di Automazione di Azure. La rigenerazione della chiave impedisce alle future registrazioni DSC o dei nodi di lavoro ibridi di utilizzare le chiavi precedenti. È consigliabile usare i ruoli di lavoro ibridi basati su estensione che usano l'autenticazione di Microsoft Entra anziché le chiavi di automazione. Microsoft Entra ID centralizza il controllo e la gestione delle identità e delle credenziali delle risorse.
Sicurezza dei dati
Proteggere gli asset in Automazione di Azure, inclusi credenziali, certificati, connessioni e variabili crittografate. Questi asset sono protetti in Automazione di Azure con più livelli di crittografia. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un maggiore controllo sulle chiavi di crittografia, è possibile specificare chiavi gestite dal cliente da usare per la crittografia degli asset di automazione. Queste chiavi devono essere presenti in Azure Key Vault per consentire al servizio automazione di accedere alle chiavi. Vedere la Crittografia degli asset sicuri usando chiavi gestite dal cliente.
Non stampare credenziali o dettagli del certificato nell'output del job. Un operatore di un processo di automazione con privilegi limitati può visualizzare le informazioni riservate.
Mantenere un backup valido della configurazione dell’Automazione, ad esempio runbook e asset, assicurando che i backup vengano convalidati e protetti per mantenere la continuità aziendale dopo un evento imprevisto.
Isolamento della rete
- Usare collegamento privato di Azure per connettere in modo sicuro gli Hybrid Runbook Worker ad Automazione di Azure. L'endpoint privato di Azure è un'interfaccia di rete che si connette privatamente e in modo sicuro a un servizio di Automazione di Azure basato sul collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato dalla rete virtuale per portare effettivamente il servizio di automazione nella rete virtuale.
Se si desidera accedere e gestire altri servizi privatamente tramite runbook dalla rete virtuale di Azure senza la necessità di aprire una connessione in uscita a Internet, è possibile eseguire il runbook in un ruolo di lavoro ibrido connesso alla rete virtuale di Azure.
Criteri per Automazione di Azure
Esaminare le raccomandazioni di Criteri di Azure per Automazione di Azure e agire secondo necessità. Vedere i criteri di Automazione di Azure.
Passaggi successivi
- Per informazioni su come usare il controllo degli accessi in base al ruolo di Azure, vedere Gestire le autorizzazioni e la sicurezza dei ruoli in Automazione di Azure.
- Per informazioni su come Azure protegge la privacy e protegge i dati, vedere Sicurezza dei dati di Automazione di Azure.
- Per informazioni sulla configurazione dell'account di Automazione per l'uso della crittografia, vedere Crittografia degli asset sicuri in Automazione di Azure.
- Per informazioni sul supporto della versione di runtime, sul ritiro e sugli aggiornamenti della sicurezza, vedere Supporto del runtime del linguaggio e criteri di ritiro per Automazione di Azure.