Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält mehrere Themen, die erläutern, wie Daten in einer Azure Automation Umgebung geschützt und gesichert werden.
TLS für Azure Automation
Um die Sicherheit von Daten während der Übertragung zu Azure Automation sicherzustellen, empfehlen wir Ihnen dringend, die Verwendung von Transport Layer Security (TLS) zu konfigurieren. Im Folgenden sehen Sie eine Liste der Methoden bzw. Clients, die über HTTPS mit dem Automation-Dienst kommunizieren:
Webhookaufrufe
Benutzer-Hybrid Runbook Worker (erweiterungsbasiert und Agent-basiert)
Von Azure Automation-Updateverwaltung und Azure Automation-Änderungsnachverfolgung & Bestand verwaltete Computer
Azure Automation DSC-Knoten
Bei älteren Versionen von TLS/Secure Sockets Layer (SSL) wurde ein Sicherheitsrisiko festgestellt. Sie funktionieren aus Gründen der Abwärtskompatibilität zwar noch, werden jedoch nicht empfohlen. Es wird nicht empfohlen, Ihren Agent explizit so einzurichten, dass nur TLS 1.2 verwendet wird, es sei denn, dies ist erforderlich. Denn dadurch können Sicherheitsfeatures auf Plattformebene deaktiviert werden, mit deren Hilfe neuere, sicherere Protokolle wie TLS 1.3 automatisch erkannt und genutzt werden können, sobald diese verfügbar sind.
Informationen zur TLS-Unterstützung mit dem Log Analytics-Agent für Windows und Linux, die eine Abhängigkeit für die Rolle "Hybrid Runbook Worker" ist, finden Sie unter Log Analytics Agent overview - TLS.
Aktualisieren des TLS-Protokolls für Hybrid-Worker und Webhook-Aufrufe
Von 01. März 2025 können alle von Agent-basierten und erweiterungsbasierten Benutzer-Hybrid Runbook Worker, Webhooks, DSC-Knoten und Azure Automation-Updateverwaltung und Änderungsverfolgung verwaltete Computer unter Verwendung der Protokolle Transport Layer Security (TLS) 1.0 und 1.1 keine Verbindung zu Azure Automation mehr herstellen. Alle Aufträge, die für Hybrid-Worker mit TLS 1.0- und 1.1-Protokollen ausgeführt oder geplant werden, werden fehlschlagen.
Stellen Sie sicher, dass die Webhook-Aufrufe, die Runbooks auslösen, in TLS 1.2 oder höher navigieren. Erfahren Sie, wie Sie TLS 1.0/1.1-Protokolle auf einem Windows Hybrid Worker deaktivieren und TLS 1.2 oder höher auf einem Windows-Rechner aktivieren.
Führen Sie für Linux Hybrid Worker das folgende Python Skript aus, um auf das neueste TLS-Protokoll zu aktualisieren.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Plattformspezifische Anleitungen
Hinweis
Windows Server 2008 und Windows Server 2008 R2 haben das Ende des Supports (EOS) erreicht. Weitere Informationen finden Sie unter End der Unterstützung für Windows Server 2008 und Windows Server 2008 R2 und Perform-Direktes Upgrade auf Windows Server 2016, 2019, 2022 oder 2025. Überprüfen Sie Ihre Nutzung und planen Sie Betriebssystemupgrades und -migrationen entsprechend.
| Plattform/Sprache | Unterstützung | Weitere Informationen |
|---|---|---|
| Linux | Linux-Distributionen greifen zur Unterstützung von TLS 1.2 tendenziell auf OpenSSL zurück. | Überprüfen Sie anhand des OpenSSL-Änderungsprotokolls, ob Ihre Version von OpenSSL unterstützt wird. |
| Windows 8.0 - 10 | Wird unterstützt und ist standardmäßig aktiviert. | Zur Bestätigung, dass Sie weiterhin die Standardeinstellungen verwenden. |
| Windows Server 2012 - 2016 | Wird unterstützt und ist standardmäßig aktiviert. | Zur Bestätigung, dass Sie weiterhin die Standardeinstellungen verwenden. |
| Windows 7 SP1 und Windows Server 2008 R2 SP1 | Wird unterstützt, ist jedoch standardmäßig deaktiviert. | Details zur Aktivierung finden Sie auf der Seite Transport Layer Security (TLS) registry settings (Registrierungseinstellungen für Transport Layer Security (TLS)). |
Datenaufbewahrung
Wenn Sie eine Ressource in Azure Automation löschen, wird sie für viele Tage für Überwachungszwecke aufbewahrt, bevor sie dauerhaft entfernt werden. In diesem Zeitraum kann die Ressource weder angezeigt noch verwendet werden. Diese Richtlinie gilt auch für Ressourcen, die zu einem gelöschten Automation-Konto gehören. Die Datenaufbewahrungsrichtlinie gilt für alle Benutzer und kann zurzeit nicht angepasst werden. Wenn Sie Daten jedoch länger aufbewahren müssen, können Sie Azure Automation Job-Daten an Azure Monitor Protokolle weiterleiten.
Die folgende Tabelle zeigt die Aufbewahrungsrichtlinie für unterschiedliche Ressourcen.
| Daten | Richtlinie |
|---|---|
| Konten | Ein Konto wird 30 Tage nach seiner Löschung durch den Benutzer endgültig entfernt. |
| Vermögenswerte | Ein Objekt wird 30 Tage nach seiner Löschung durch den Benutzer endgültig entfernt oder 30 Tage, nachdem ein Benutzer ein Konto gelöscht hat, das das Objekt enthält. Zu den Ressourcen gehören Variablen, Zeitpläne, Anmeldeinformationen, Zertifikate, Python 2 Pakete und Verbindungen. |
| DSC-Knoten | Ein DSC-Knoten wird 30 Tage nach dem Aufheben der Registrierung eines Automatisierungskontos mit Azure Portal oder dem Unregister-AzAutomationDscNode Cmdlet in Windows PowerShell dauerhaft entfernt. Auch ein Knoten wird nach 30 Tagen endgültig entfernt, nachdem ein Benutzer das Konto gelöscht hat, das den Knoten enthält. |
| Aufträge | Ein Auftrag wird 30 Tage nach der Änderung gelöscht und endgültig entfernt, z. B. nachdem der Auftrag abgeschlossen, beendet oder angehalten wurde. |
| Module | Ein Modul wird 30 Tage nach seiner Löschung durch einen Benutzer endgültig entfernt oder 30 Tage, nachdem ein Benutzer das Konto gelöscht hat, das das Modul enthält. |
| Knotenkonfigurationen/MOF-Dateien | Eine alte Knotenkonfiguration wird 30 Tage nach dem Generieren einer neuen Knotenkonfiguration endgültig entfernt. |
| Knotenberichte | Ein Knotenbericht wird 90 Tage nach dem Generieren eines neuen Berichts für diesen Knoten endgültig entfernt. |
| Runbooks | Ein Runbook wird 30 Tage, nachdem ein Benutzer die Ressource gelöscht hat, oder 30 Tage, nachdem ein Benutzer das Konto gelöscht hat, das die Ressource enthält, endgültig entfernt.1 |
1Das Runbook kann innerhalb des 30-Tage-Fensters wiederhergestellt werden, indem ein Azure-Support-Vorfall bei Microsoft Azure Support erstellt wird. Wechseln Sie zur website Azure-Support und wählen Sie Submit a support request aus.
Datensicherung
Wenn Sie ein Automatisierungskonto in Azure löschen, werden alle Objekte im Konto gelöscht. Zu den Objekten zählen Runbooks, Module, Konfigurationen, Einstellungen, Aufträge und Objekte. Sie können ein gelöschtes Automatisierungskonto innerhalb von 30 Tagen wiederherstellen. Sie können die Inhalte Ihres Automation-Kontos auch mithilfe der folgenden Informationen sichern, bevor Sie das Konto löschen:
Runbooks
Sie können Ihre Runbooks entweder über das Azure Portal oder das Cmdlet Get-AzAutomationRunbookContent in Windows PowerShell in Skriptdateien exportieren. Sie können diese Skriptdateien wie in Manage runbooks in Azure Automation beschrieben in ein anderes Automatisierungskonto importieren.
Integrationsmodule
Sie können Integrationsmodule nicht aus Azure Automation exportieren, sie müssen außerhalb des Automatisierungskontos zur Verfügung gestellt werden.
Vermögenswerte
Sie können Azure Automation Ressourcen nicht exportieren: Zertifikate, Verbindungen, Anmeldeinformationen, Zeitpläne und Variablen. Stattdessen können Sie das Azure Portal und Azure Cmdlets verwenden, um die Details dieser Ressourcen zu notieren. Verwenden Sie dann diese Details, um alle Objekte zu erstellen, die von Runbooks verwendet werden, die Sie in ein anderes Automation-Konto importieren.
Es ist nicht möglich, die Werte verschlüsselter Variablen oder die Kennwortfelder für Anmeldeinformationen mithilfe von Cmdlets abzurufen. Wenn Sie diese Werte nicht kennen, können Sie sie aus einem Runbook abrufen. Informationen zum Abrufen von Variablenwerten finden Sie unter Variable assets in Azure Automation. Weitere Informationen darüber, wie Sie Anmeldeinformationswerte abrufen können, finden Sie unter Credential assets in Azure Automation.
DSC-Konfigurationen
Sie können Ihre DSC-Konfigurationen in Skriptdateien exportieren, entweder über das Azure-Portal oder mit dem Cmdlet Export-AzAutomationDscConfiguration in Windows PowerShell. Sie können diese Konfigurationen in ein anderes Automatisierungskonto importieren und darin verwenden.
Datenresidenz
Sie geben während der Erstellung eines Azure Automation Kontos eine Region an. Dienstdaten wie Ressourcen, Konfiguration, Protokolle werden in dieser Region gespeichert und können in anderen Regionen innerhalb derselben Geografie übertragen oder verarbeitet werden. Diese globalen Endpunkte sind erforderlich, um Endbenutzern unabhängig von ihrem Standort eine hohe Leistung mit geringer Wartezeit zu bieten. Nur für die Region Brasilien Süd (Bundesstaat Sao Paulo) in der Geografie Brasiliens, die Region Südostasien (Singapur) sowie Ostasien (Hongkong) in der Geografie Asien-Pazifik speichern wir Azure Automation-Daten in derselben Region, um die Datenresidenzanforderungen für diese Regionen zu erfüllen.
Nächste Schritte
- Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter Security best practices in Azure Automation.
- Weitere Informationen zu sicheren Ressourcen in Azure Automation finden Sie unter Encryption sicherer Ressourcen in Azure Automation.
- Weitere Informationen zur Georeplikation finden Sie unter Erstellen und Verwenden der aktiven Georeplikation.