Credential Vault-Verschlüsselung
- Zuletzt aktualisiert2024/10/09
Credential Vault-Verschlüsselung
Die Automation 360-Plattform bietet den eingebetteten Credential Vault und bietet eine große Palette von Sicherheitsmaßnahmen zum Schutz von Daten im Ruhezustand und bei der Übertragung, aber auch während der Nutzung in den einzelnen Systemen.
Verschlüsselungsschlüssel und Tresor
Während der Installation von Automation 360 generiert das System ein Paar aus öffentlichen und privaten RSA-2048-Bit-Schlüsseln und einen AES-256-Bit-Schlüssel. Der private Schlüssel des RSA 2048-Paares wird als Hauptschlüssel bezeichnet, während der AES 256-Schlüssel als Datenschlüssel bezeichnet wird. Der Hauptschlüssel wird dem Installationsadministrator zur Aufbewahrung an einem physisch sicheren Ort außerhalb des Systems übergeben. Der öffentliche Schlüssel wird zum Verschlüsseln des Datenschlüssels verwendet. Sowohl der öffentliche Schlüssel als auch der verschlüsselte Datenschlüssel werden dann in der Datenbank gespeichert.
Beim Start oder Neustart des Automation Anywhere Control Rooms wird der Administrator aufgefordert, den Hauptschlüssel einzugeben. Der verschlüsselte Datenschlüssel wird aus der Datenbank abgerufen und mit dem Hauptschlüssel entschlüsselt. Der Datenschlüssel ist jetzt einsatzbereit. Während das System Daten aus dem Credential Vault speichert und abruft, wird der Datenschlüssel zum Verschlüsseln und Entschlüsseln dieser Daten verwendet.
Der Tresor wird zum Speichern aller vom System verwalteten Anmeldedaten und kritischen Systemkonfigurationsdaten verwendet. Darin können auch andere vertrauliche Daten gespeichert werden, die bei der Automatisierung einer Organisation verwendet werden. Infolgedessen können Bot-Ersteller die unsichere Praxis der Festkodierung von Anmeldedaten und anderer sensibler Daten/Argumente direkt in ihren Automatisierungen vermeiden.
Die Authentifizierung auf mehreren Ebenen und eine fein abgestimmte Zugriffssteuerung sind für eine streng kontrollierte Umgebung unerlässlich. Dies gilt auch für den durchgängigen Datenschutz, der ebenfalls erforderlich ist, um die Vertraulichkeit und Integrität geschäftskritischer Prozesse, vertraulicher Daten und verwandter Anmeldedaten zu gewährleisten.
- Hauptschlüssel
- Dieser RSA-2048-Bit-Schlüssel wird in einem Schlüsselverwaltungssystem verwaltet und sicher gespeichert. Mit diesem Schlüssel wird der Credential Vault entsperrt.Bei Lokal-Bereitstellungen, wenn der Credential Vault-Modus auf manuell eingestellt ist und der Control Room-Cache-Dienst von allen Knoten aus neu gestartet wird, gibt der Administrator den Hauptschlüssel jedes Mal ein, wenn der Control Room gestartet wird. Sobald der Tresor geöffnet ist, wird der Hauptschlüssel sofort aus dem Speicher gelöscht und nirgendwo auf der Automation Anywhere-Plattform gespeichert.Anmerkung:
- Lokal: Die Kunden sind Eigentümer des Hauptschlüssels und müssen dafür sorgen, dass der Schlüssel sicher aufbewahrt und gepflegt wird. Einzelheiten finden Sie unter Konfigurieren des Verbindungsmodus für den Credential Vault.
- Cloud: Automation Anywhere ist Eigentümer des Hauptschlüssels und sorgt dafür, dass der Schlüssel sicher aufbewahrt und gepflegt wird.
- Datenverschlüsselungsschlüssel
- Dieser AES-256-Bit-Schlüssel wird in der Control Room-Datenbank gespeichert und zum Ver- und Entschlüsseln der Anmeldedaten zum Zeitpunkt der Speicherung oder Bereitstellung verwendet. Dieser Schlüssel wird mit dem Hauptschlüssel verschlüsselt. Der Datenverschlüsselungsschlüssel verbleibt ausschließlich im Credential Vault. Die Ver- und Entschlüsselung der Anmeldedaten erfolgt im Credential Vault.
Schutz von Daten im Ruhezustand
Neben dem Verschlüsseln lokaler Anmeldedaten und der Auswahl der von Bots verwendeten Laufzeitdaten bietet der Credential Vault einen sicheren Speicher für vertrauliche Konfigurationsparameter und Details zu den integrierten Versionskontroll- und E-Mail-Diensten.