Automation 360 Cloud für sicheren Zugriff und Verbindung

Dank der Zugriffssicherheit von Bots Automation 360 können Sie Cloud sicher entwickeln und ausführen.

Allgemeine Architektur einer Cloud-Bereitstellung

Die folgende Architekturdiagramm gibt einen allgemeinen Überblick über den Arbeitsablauf der Bereitstellung von Automation 360 Cloud:cloud-architecture

  1. Sie melden sich über einen Browser beim Control Room an und erstellen Nutzer und Rollen. Sie führen diesen Prozess in Automation 360 Cloud durch.
  2. Sie installieren den Bot-Agenten auf einem Windows-Gerät, um Bots lokal auszuführen. Sie führen diesen Prozess in Ihrer Infrastruktur durch.
  3. Der Datenfluss zwischen Automation 360 Cloud und dem Bot-Agent auf Ihrem Windows-Gerät in Ihrer Infrastruktur wird mit TLS verschlüsselt (nur ausgehender Port 443).

Sicherheit mit Identitäts- und Zugriffsmanagement (IAM) für das Nutzersystem

  • Wenn sich ein Administrator zum ersten Mal beim Automation 360 Control Room anmeldet, kann er SAML 2.0 so konfigurieren, dass der Automation 360 Cloud Control Room mit seinem eigenen Identitätsanbieter (Identity Provider, IdP) verbunden wird, damit sich seine Nutzer mit MFA (Multi-Faktor-Authentifizierung) beim Control Room anmelden können.
  • Der Administrator kann dann die erforderlichen Nutzer und Rollen oder Berechtigungen erstellen, um bestimmte Aktivitäten (z. B. das Entwickeln und Ausführen von Bots) im Control Room durchzuführen.
  • Die Nutzer des Automation 360 Control Rooms können sich dann über MFA anmelden und mit der Erstellung und Ausführung von Bots beginnen.
  • Außerdem kann der Administrator einen zulässigen IP-Adressbereich konfigurieren, um Nutzeranmeldungen über die Administratoreinstellungen im Control Room zu verwalten.

Weitere Informationen über Automation 360 Cloud finden Sie unter Erste Schritte mit Automation 360 Cloud.

Sichere Verbindung zur Ausführung von Bots

Sie führen Bots lokal auf einem Windows-Rechner aus, auf dem der Bot-Agent bereitgestellt ist. Sie können den Bot-Agenten herunterladen und auf Ihren Geräten installieren oder in einem Pool virtueller Maschinen bereitstellen.

Bevor Sie den Bot-Agenten installieren, müssen die folgenden Kriterien erfüllt sein:
  • Die Integrität des Geräts, auf dem der Bot-Agent installiert ist, wird nicht beeinträchtigt.
  • Die Organisation des Nutzers hat Sicherheitsvorkehrungen und -kontrollen eingerichtet, die eine Übernahme des Bot-Agenten und Sicherheitsverletzungen auf Systemebene verhindern.
  • Die Nutzerumgebung ist vor netzbasierten Angriffen wie Domain Name System (DNS) Cache Poisoning, Address Resolution Protocol (ARP) Spoofing usw. geschützt.
Anmerkung: Automation 360 Cloud Beinhaltet Sicherheitskontrollen zur Überprüfung auf Man-in-the-Middle-Angriffe (MITM) und böswilliges Abfangen.
Installation und Registrierung des Bot-Agent
Wenn Sie Ihr Gerät registrieren, erhält das Bot-Agent-Gerät ein JSON Web Token (JWT), um den Registrierungsprozess beim Control Room zu starten. Wenn das vom Bot-Agent-Gerät bereitgestellte Token nicht mit dem vom Control Room bereitgestellten Token übereinstimmt, schlägt der Registrierungsprozess fehl. Auf diese Weise wird das Bot-Agent-Clientgerät gegenüber dem Control Room authentifiziert.
Im Masseninstallations- und -registrierungsmodus für den Bot-Agenten wird das Bot-Agent-Gerät mit der bereits vorregistrierten Control Room-URL aktiviert, die in der autoregistration.properties-Datei angegeben ist. Wenn Sie die Einstellungen für die Massenregistrierung verwenden, können Sie ohne Administratorrechte auf dem betreffenden Gerät keine gefälschte Control Room-URL eingeben. Wenn der Bot-Agent zum ersten Mal gestartet wird, liest er die Datei autoregistration.properties und registriert sich unter der Control Room-URL, die in der Eigenschaftsdatei angegeben ist. Standardmäßig ist die Option deaktiviert, mit der bei der Bot-Agent-Registrierung von einem Control Room zu einem anderen gewechselt werden kann. Nur die Control Room-Administratoren können diese Option aktivieren. Wenn jemand versucht, bei deaktivierter Option eine andere URL zu registrieren, würde dieser Vorgang sofort mit der Meldung fehlschlagen, dass der Control Room bereits registriert und ein Wechsel der Control Room-URL nicht zulässig ist.
Indem nur der Administrator Schreibzugriff auf einen Cache-Ordner erhält und alle anderen Nutzer, die Bots ausführen können, Leseberechtigungen erhalten, ist gewährleistet, dass ein Bot, der in den Geräte-Cache heruntergeladen wird, nicht manipuliert werden kann, um potenziell schädliche Aktionen auszuführen.
Kommunikation zwischen dem Bot-Agent und Control Room
Vom Bot-Agent-Gerät wird über HTTPS (ausgehender Port 443) eine Websocket-Verbindung zum Control Room hergestellt. Es ist keine eingehende Verbindung erforderlich.
  • Server-Authentifizierung: Der TLS-Handshake (Transport Layer Security) gewährleistet, dass der Common Name (CN) im Serverzertifikat, das von der bekannten Zertifizierungsstelle (CA) ausgestellt wurde, mit dem legitimen Hostnamen übereinstimmt, der in der Vertrauenskette des Zertifikats enthalten ist.
  • Client-Authentifizierung: Nach der Registrierung ist ein gültiger JSON Web Token (JWT) vom Bot-Agent erforderlich, um eine Verbindung zum Control Room herzustellen. Dieses Token, das vom Bot-Agent generiert und mit dem privaten Schlüssel vom Bot-Agent signiert wurde, wird verwendet, um die Identität des Bot-Agents zu überprüfen und sicherzustellen, dass das Token authentifiziert ist. Das Token kann mit dem öffentlichen Bot-Agent-Schlüssel verifiziert werden, der während des Registrierungsvorgangs an den Control Room gesendet wurde. Der gleiche Prozess wird verwendet, um das Bot-Agent-Gerät jedes Mal zu authentifizieren, wenn es eine Verbindung mit dem Control Room herstellt. Nachdem das Token verifiziert wurde, wird vom Control Room ein neues JSON Web Token (JWT) generiert und an den Bot-Agent gesendet, um die bestehende HTTP-Verbindung in eine WebSocket-Verbindung umzuwandeln.
Die Datenverbindung zwischen dem Netzwerk eines Kunden und dem Cloud-Dienst wird durch eine starke TLS-Verbindung geschützt, die mindestens 2048-Bit-RSA-Serverzertifikate, symmetrische 128-Bit-Verschlüsselungsschlüssel und stärkere TLS-Protokolle nutzt. Durch diese sichere Verbindung wird es praktisch unmöglich, die bestehende TLS-Verbindung zu unterbrechen.
Nach dem Aufbau der Websocket-Verbindung ist die Kommunikation zwischen dem Netzwerk eines Kunden und dem Cloud-Dienst abgesichert und bidirektional. Die Verbindung zwischen dem Bot-Agent-Gerät und dem in Automation 360 Cloud gehosteten Control Room ist dauerhaft und wird automatisch wiederhergestellt, wenn die Verbindung unterbrochen wird. Über diese Verbindung werden die Bots heruntergeladen, um sie auszuführen und Informationen zum Betriebsstatus an den Control Room zu senden.
Anmerkung: Die Verbindung wird nur einmal und nicht für jeden Bot hergestellt.
Ausführung von Bots planen
Control Room-Nutzer können die Ausführung von Bots planen. Kompilierte Bots werden heruntergeladen und auf den Bot-Agent-Geräten ausgeführt, und von den Bot-Agent-Geräten werden Betriebsprotokolle an den Control Room gesendet.
Damit die Bots ausgeführt werden können, baut der Bot-Agent eine aktive Windows-Sitzung auf, indem er sich auf dem Bot Runner-Gerät als lizenzierter Bot-Agent-Nutzer authentifiziert.
Sichere Anmeldedaten für Bots
Bots, die auf den Bot-Agent-Geräten ausgeführt werden, müssen sich mit Anmeldedaten beim Gerät anmelden. Sie können Anmeldedaten sicher im Credential Vault des Automation 360 von Cloud Control Room speichern. Alternativ dazu können Anmeldedaten auch in einem vom Kunden gehosteten Schlüsselverwaltungssystem (z. B. CyberArk) gespeichert werden. Wenn Sie Anmeldedaten in einem vom Kunden gehosteten Schlüsselverwaltungssystem speichern, muss eine Verbindung zwischen dem Control Room und dem Schlüsselverwaltungssystem des Kunden bestehen. Zur Gewährleistung von Konnektivität und Zugriff müssen Sie die Automation 360 Cloud-IP-Adressen für die spezifische Automation 360 Cloud-Region, in der der Control Room gehostet wird, in der entsprechenden Firewall konfigurieren. Weitere Informationen finden Sie unter Control Room IP-Adressen für externe Integrationen.

Sicherer Betrieb in Automation 360 Cloud

Automation 360 Cloud ist sicher und erfüllt die Compliance-Standards für: SOC 1, SOC 2, ISO 27001:2022: Information Security Management Systems (ISMS), ISO 27017:2015: Informationssicherheitsmaßnahmen für Cloud Dienstleistungen), ISO 27018:2019: Schutz von personenbezogenen Daten (PII) in Cloud-Umgebungen und HITRUST.