Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo contém vários tópicos que explicam como os dados são protegidos e segurados em um ambiente de Azure Automation.
TLS para Azure Automation
Para garantir a segurança dos dados em trânsito para o Azure Automation, encorajamos fortemente que configure o uso do Transport Layer Security (TLS). A seguir está uma lista de métodos ou clientes que se comunicam por HTTPS para o serviço de automação:
Chamadas Webhook
User Hybrid Runbook Workers (baseado em extensão e agente)
Máquinas geridas pelo Azure Automation Gestão de atualizações e Azure Automation Monitorização e inventário de alterações
Azure Automation DSC nodes
Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis e, embora ainda funcionem atualmente para permitir compatibilidade com versões anteriores, não são recomendadas. Não recomendamos configurar explicitamente seu agente para usar apenas o TLS 1.2, a menos que seja necessário, pois ele pode quebrar os recursos de segurança no nível da plataforma que permitem detetar automaticamente e aproveitar os protocolos mais recentes e mais seguros à medida que se tornam disponíveis, como o TLS 1.3.
Para informações sobre o suporte a TLS com o agente Log Analytics para Windows e Linux, que é uma dependência para a função Hybrid Runbook Worker, veja Log Analytics agent overview - TLS.
Atualizar o protocolo TLS para Trabalhadores Híbridos e chamadas Webhook
A partir de 1 de março de 2025, todos os trabalhadores de Runbooks Híbridos do Utilizador com base em agente e extensão, Webhooks, nós DSC e máquinas geridas pelo Azure Automation para gerenciamento de atualizações e rastreamento de alterações, que utilizam os protocolos Transport Layer Security (TLS) 1.0 e 1.1, não poderão mais conectar-se ao Azure Automation. Todos os trabalhos em execução ou agendados em Trabalhadores Híbridos usando protocolos TLS 1.0 e 1.1 falharão.
Certifique-se de que as chamadas do Webhook que acionam os runbooks utilizem o TLS 1.2 ou superior. Aprenda a desativar protocolos TLS 1.0/1.1 no Windows Hybrid Worker e ativar TLS 1.2 ou superior na máquina Windows.
Para Linux Hybrid Workers, execute o seguinte script Python para atualizar para o protocolo TLS mais recente.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Orientações específicas da plataforma
Observação
O Windows Server 2008 e o Windows Server 2008 R2 chegaram ao Fim do Suporte (EOS). Para mais informações, veja, Fim do suporte para Windows Server 2008 e Windows Server 2008 R2 e Realize atualização no local para Windows Server 2016, 2019, 2022 ou 2025. Revise o seu uso e planeie as atualizações e migrações do sistema operativo em conformidade.
| Plataforma/Idioma | Suporte | Mais Informações |
|---|---|---|
| Linux | As distribuições Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique o OpenSSL Changelog para confirmar se a sua versão do OpenSSL é suportada. |
| Windows 8.0 - 10 | Suportado e ativado por padrão. | Para confirmar que você ainda está usando as configurações padrão. |
| Windows Server 2012 - 2016 | Suportado e ativado por padrão. | Para confirmar que você ainda está usando as configurações padrão |
| Windows 7 SP1 e Windows Server 2008 R2 SP1 | Suportado, mas não ativado por padrão. | Consulte a página das configurações do registo Transport Layer Security (TLS) para obter detalhes sobre como habilitar. |
Retenção de dados
Quando elimina um recurso no Azure Automation, ele é mantido durante muitos dias para fins de auditoria antes de ser removido permanentemente. Não é possível ver ou usar o recurso durante esse período. Esta política também se aplica a recursos que pertencem a uma conta de automação excluída. A política de retenção aplica-se a todos os utilizadores e, atualmente, não pode ser personalizada. No entanto, se precisares de guardar os dados por mais tempo, podes encaminhar os dados do Azure Automation para os registos do Azure Monitor.
A tabela a seguir resume a política de retenção para diferentes recursos.
| Dados | Policy |
|---|---|
| Contas | Uma conta é removida permanentemente 30 dias após um utilizador a eliminar. |
| Ativos | Um ativo é removido permanentemente 30 dias após um usuário excluí-lo ou 30 dias depois que um usuário exclui uma conta que detém o ativo. Os ativos incluem variáveis, agendas, credenciais, certificados, pacotes Python 2 e ligações. |
| Nós DSC | Um nó DSC é removido permanentemente 30 dias após ser desregistado de uma conta de Automação usando o portal do Azure ou o cmdlet Unregister-AzAutomationDscNode no Windows PowerShell. Um nó também é removido permanentemente 30 dias depois que um usuário exclui a conta que contém o nó. |
| Tarefas | Um trabalho é excluído e removido permanentemente 30 dias após a modificação, por exemplo, depois que o trabalho é concluído, interrompido ou suspenso. |
| Módulos | Um módulo é removido permanentemente 30 dias depois que um usuário o exclui, ou 30 dias depois que um usuário exclui a conta que contém o módulo. |
| Configurações de Nó/Ficheiros MOF | Uma configuração de nó antiga é removida permanentemente 30 dias após a geração de uma nova configuração de nó. |
| Relatórios de Nódulos | Um relatório de nó é removido permanentemente 90 dias após a geração de um novo relatório para esse nó. |
| Manuais de Procedimentos | Um runbook é removido permanentemente 30 dias depois que um usuário exclui o recurso ou 30 dias depois que um usuário exclui a conta que contém o recurso1. |
1 O runbook pode ser recuperado dentro do prazo de 30 dias, registando um incidente com o Suporte da Microsoft Azure. Vai ao site Azure support e seleciona Submeter um pedido de suporte.
Backup de dados
Quando elimina uma conta de Automação no Azure, todos os objetos da conta são eliminados. Os objetos incluem runbooks, módulos, configurações, definições, trabalhos e ativos. Você pode recuperar uma conta de automação excluída dentro de 30 dias. Você também pode usar as seguintes informações para fazer backup do conteúdo da sua conta de automação antes de excluí-la:
Manuais de Procedimentos
Podes exportar os teus runbooks para ficheiros de script usando o portal Azure ou o cmdlet Get-AzAutomationRunbookContent no Windows PowerShell. Pode importar estes ficheiros de script para outra conta de automação, como discutido em Gerir runbooks no Azure Automation.
Módulos de integração
Não podes exportar módulos de integração do Azure Automation, têm de estar disponíveis fora da conta de Automação.
Ativos
Não podes exportar ativos do Azure Automation: certificados, ligações, credenciais, agendamentos e variáveis. Em vez disso, pode usar o portal Azure e os cmdlets Azure para registar os detalhes destes ativos. Em seguida, use esses detalhes para criar quaisquer ativos que são usados por runbooks que você importa para outra conta de automação.
Não é possível recuperar os valores de variáveis criptografadas ou os campos de senha de credenciais usando cmdlets. Se não souberes esses valores, poderás recuperá-los num manual de operação. Para recuperar valores de variáveis, veja ativos variáveis em Azure Automation. Para saber mais sobre como obter valores de credenciais, consulte Ativos de Credenciais em Azure Automation.
Configurações DSC
Pode exportar as suas configurações DSC para ficheiros de script usando o portal Azure ou o cmdlet Export-AzAutomationDscConfiguration no Windows PowerShell. Você pode importar e usar essas configurações em outra conta de automação.
Residência de dados
Especificas uma região durante a criação de uma conta Azure Automation. Os dados de serviço, como ativos, configuração, logs, são armazenados nessa região e podem transitar ou ser processados em outras regiões dentro da mesma geografia. Esses pontos de extremidade globais são necessários para fornecer aos usuários finais uma experiência de alto desempenho e baixa latência, independentemente da localização. Apenas para a região do Brasil Sul (Estado de São Paulo) da geografia do Brasil, região do Sudeste Asiático (Singapura) e região do Leste Asiático (Hong Kong) da geografia Ásia-Pacífico, armazenamos os dados do Azure Automation na mesma região para acomodar os requisitos de residência de dados para estas regiões.
Próximos passos
- Para saber mais sobre as diretrizes de segurança, consulte Melhores práticas de segurança em Azure Automation.
- Para saber mais sobre ativos seguros em Azure Automation, consulte Encriptação de ativos seguros em Azure Automation.
- Para saber mais sobre a replicação geográfica, consulte Criando e usando a replicação geográfica ativa.