Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo contém vários tópicos explicando como os dados são protegidos e assegurados em um ambiente do Azure Automation.
TLS para Azure Automation
Para garantir a segurança dos dados em trânsito para Azure Automation, recomendamos que você configure o uso do TLS (Transport Layer Security). Veja a seguir uma lista de métodos ou clientes que se comunicam por HTTPS com o serviço de automação:
Chamadas de webhook
Hybrid Runbook Workers do usuário (baseado em extensão e baseado em agente)
Máquinas gerenciadas pelo Azure Automation Update Management e pelo Azure Automation Change Tracking & Inventory
Azure Automation nós DSC
Constatou-se que versões mais antigas do protocolo TLS/protocolo SSL eram vulneráveis e embora elas ainda funcionem no momento para permitir a compatibilidade com versões anteriores, elas não são recomendadas. Não é recomendável definir explicitamente o agente para usar somente o TLS 1.2, a menos que seja necessário, pois ele pode quebrar os recursos de segurança em nível de plataforma que permitem a identificação e aproveitamento automáticos de protocolos mais recentes e seguros conforme fiquem disponíveis, como o TLS 1.3.
Para obter informações sobre o suporte do TLS com o agente Log Analytics para Windows e Linux, que é uma dependência para a função Hybrid Runbook Worker, consulte Log Analytics agent overview - TLS.
Atualizar o protocolo TLS para chamadas de Hybrid Workers e Webhook
A partir de 1º de março de 2025, todos os Hybrid Runbook Workers do usuário baseados em agente e em extensão, Webhooks, nós DSC e máquinas gerenciadas pelo Gerenciamento de Atualizações da Automação do Azure e Controle de Alterações que utilizam os protocolos Transport Layer Security (TLS) 1.0 e 1.1 não terão mais capacidade de conexão com a Automação do Azure. Todos os trabalhos em execução ou agendados em Hybrid Workers usando os protocolos TLS 1.0 e 1.1 irão falhar.
Certifique-se de que as chamadas do Webhook que disparam runbooks navegam usando o TLS 1.2 ou superior. Saiba como desativar os protocolos TLS 1.0/1.1 no Windows Hybrid Worker e habilitar o TLS 1.2 ou superior em um computador com Windows.
Para os Trabalhadores Híbridos do Linux, execute o script Python a seguir para atualizar para o protocolo TLS mais recente.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Diretrizes específicas da plataforma
Observação
Windows Server 2008 e Windows Server 2008 R2 atingiram o EOS (Fim do Suporte). Para obter mais informações, consulte Fim do suporte para Windows Server 2008 e Windows Server 2008 R2 e Realizar atualização in-loco para Windows Server 2016, 2019, 2022 ou 2025. Examine o uso e planeje as atualizações e migrações do sistema operacional adequadamente.
| Plataforma/linguagem | Suporte | Mais informações |
|---|---|---|
| Linux | Distribuições do Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique as OpenSSL Changelog para confirmar a sua versão do OpenSSL é suportada. |
| Windows 8.0 - 10 | Suportado e habilitado por padrão. | Para confirmar que você ainda está usando as configurações padrão. |
| Windows Server 2012 - 2016 | Suportado e habilitado por padrão. | Para confirmar que você ainda está usando configurações padrão |
| Windows 7 SP1 e Windows Server 2008 R2 SP1 | Com suporte, mas não habilitado por padrão. | Consulte a página configurações do registro de segurança de camada de transporte (TLS) para obter detalhes sobre como habilitar. |
Retenção de dados
Quando você exclui um recurso no Azure Automation, ele é mantido por muitos dias para fins de auditoria antes da remoção permanente. Você não pode ver nem usar o recurso durante esse período. Essa política também se aplica aos recursos que pertencem a uma conta da Automação excluída. A política de retenção se aplica a todos os usuários e atualmente não pode ser personalizada. No entanto, se você precisar manter os dados por um período mais longo, poderá enviar os dados de trabalhos do Azure Automation para os logs do Azure Monitor.
A tabela a seguir resume a política de retenção para diferentes recursos.
| Dados | Policy |
|---|---|
| Contas | Uma conta é removida permanentemente 30 dias depois que um usuário a exclui. |
| Ativos | Um ativo é removido permanentemente 30 dias depois que é excluído por um usuário, ou 30 dias depois que a conta que o contém é excluída por um usuário. Os ativos incluem variáveis, agendas, credenciais, certificados, pacotes Python 2 e conexões. |
| Nós DSC | Um nó DSC é removido permanentemente 30 dias após o cancelamento do registro de uma conta da Automação usando o portal do Azure ou o cmdlet Unregister-AzAutomationDscNode no Windows PowerShell. Um nó também é removido permanentemente 30 dias após um usuário excluir a conta que o contém. |
| Trabalhos | Um trabalho é excluído e removido permanentemente 30 dias após a modificação, por exemplo, depois que o trabalho é concluído, interrompido ou suspenso. |
| Módulos | Um módulo é removido permanentemente 30 dias depois que é excluído por um usuário, ou 30 dias depois que a conta que o contém é excluída por um usuário. |
| Arquivos de configurações/MOF de nó | Uma configuração de nó antigo é removida permanentemente 30 dias depois que uma nova configuração de nó é gerada. |
| Relatórios de Nó | Um relatório de nó é removido de forma permanente 90 dias depois que um novo relatório é gerado para esse nó. |
| Runbooks | Um runbook é removido permanentemente 30 dias depois que é excluído por um usuário ou 30 dias depois que a conta que contém o recurso 1 é excluída por um usuário. |
1O runbook pode ser recuperado dentro do período de 30 dias, criando um incidente do Suporte do Azure com o Suporte do Microsoft Azure. Acesse o site Azure support e selecione Submitir uma solicitação de suporte.
Backup de dados
Quando você exclui uma conta de Automação em Azure, todos os objetos na conta são excluídos. Os objetos incluem runbooks, módulos, configurações, definições, trabalhos e ativos. Você pode recuperar uma conta de Automação excluída dentro de 30 dias. Você também pode usar as seguintes informações para fazer backup do conteúdo da sua conta de Automação antes de excluí-la:
Runbooks
Você pode exportar seus runbooks para arquivos de script usando o portal Azure ou o cmdlet Get-AzAutomationRunbookContent no Windows PowerShell. Você pode importar esses arquivos de script para outra Conta de Automação, conforme discutido em Gerenciar runbooks no Azure Automation.
Módulos de integração
Você não pode exportar módulos de integração de Azure Automation, eles precisam ser disponibilizados fora da conta de Automação.
Ativos
Você não pode exportar Azure Automation ativos: certificados, conexões, credenciais, agendas e variáveis. Em vez disso, você pode usar o portal Azure e Azure cmdlets para observar os detalhes desses ativos. Em seguida, use esses detalhes para criar quaisquer ativos usados pelos runbooks importados para outra conta da Automação.
Não é possível recuperar os valores de variáveis criptografadas, nem os campos de senha de credenciais usando cmdlets. Se você não souber esses valores, poderá recuperá-los em um runbook. Para recuperar valores de variável, consulte Variáveis de ativos no Azure Automation. Para saber mais sobre a recuperação de valores de credencial, consulte Credential assets in Azure Automation.
Configurações DSC
Você pode exportar suas configurações de DSC para arquivos de script usando o portal Azure ou o cmdlet Export-AzAutomationDscConfiguration no Windows PowerShell. Você pode importar e usar essas configurações em outra conta da Automação.
Residência de dadosResidência de dados
Especifique uma região durante a criação de uma conta Azure Automation. Dados de serviço, como ativos, configuração, logs são armazenados nessa região e podem transitar ou ser processados em outras regiões dentro da mesma área geográfica. Esses pontos de extremidade globais são necessários para fornecer aos usuários finais uma experiência de alto desempenho e baixa latência, independentemente do local. Somente para a região Sul do Brasil (Estado de São Paulo) da geografia do Brasil, região Sudeste Asiático (Cingapura) e Região Leste da Ásia (Hongkong) da geografia do Pacífico Asiático, armazenamos Azure Automation dados na mesma região para acomodar os requisitos de residência de dados dessas regiões.
Próximas etapas
- Para saber mais sobre as diretrizes de segurança, consulte as melhores práticas Security no Azure Automation.
- Para saber mais sobre ativos seguros em Azure Automation, consulte Encryption de ativos seguros no Azure Automation.
- Para saber mais sobre a replicação geográfica, confira Criar e usar a replicação geográfica ativa.