Credential Vault-Verschlüsselung

Die Automation 360-Plattform bietet den eingebetteten Credential Vault und bietet eine große Palette von Sicherheitsmaßnahmen zum Schutz von Daten im Ruhezustand und bei der Übertragung, aber auch während der Nutzung in den einzelnen Systemen.

Verschlüsselungsschlüssel und Tresor

Während der Installation von Automation 360 generiert das System ein Paar aus öffentlichen und privaten RSA-2048-Bit-Schlüsseln und einen AES-256-Bit-Schlüssel. Der private Schlüssel des RSA 2048-Paares wird als Hauptschlüssel bezeichnet, während der AES 256-Schlüssel als Datenschlüssel bezeichnet wird. Der Hauptschlüssel wird dem Installationsadministrator zur Aufbewahrung an einem physisch sicheren Ort außerhalb des Systems übergeben. Der öffentliche Schlüssel wird zum Verschlüsseln des Datenschlüssels verwendet. Sowohl der öffentliche Schlüssel als auch der verschlüsselte Datenschlüssel werden dann in der Datenbank gespeichert. Bei Verwendung werden alle Schlüssel und verschlüsselten Daten mithilfe der Microsoft Data Protection API (DPAPI) in einem verschlüsselten sicheren Speicher abgelegt.

Beim Start oder Neustart des Automation Anywhere Control Rooms wird der Administrator aufgefordert, den Hauptschlüssel einzugeben. Der verschlüsselte Datenschlüssel wird aus der Datenbank abgerufen und mit dem Hauptschlüssel entschlüsselt. Der Datenschlüssel ist jetzt einsatzbereit. Während das System Daten aus dem Credential Vault speichert und abruft, wird der Datenschlüssel zum Verschlüsseln und Entschlüsseln dieser Daten verwendet.

Der Tresor wird zum Speichern aller vom System verwalteten Anmeldedaten und kritischen Systemkonfigurationsdaten verwendet. Darin können auch andere vertrauliche Daten gespeichert werden, die bei der Automatisierung einer Organisation verwendet werden. Infolgedessen können Bot-Ersteller die unsichere Praxis der Festkodierung von Anmeldedaten und anderer sensibler Daten/Argumente direkt in ihren Automatisierungen vermeiden.

Die Authentifizierung auf mehreren Ebenen und eine fein abgestimmte Zugriffssteuerung sind für eine streng kontrollierte Umgebung unerlässlich. Dies gilt auch für den durchgängigen Datenschutz, der ebenfalls erforderlich ist, um die Vertraulichkeit und Integrität geschäftskritischer Prozesse, vertraulicher Daten und verwandter Anmeldedaten zu gewährleisten.

Hauptschlüssel
Dieser RSA-2048-Bit-Schlüssel wird in einem Schlüsselverwaltungssystem verwaltet und sicher gespeichert. Mit diesem Schlüssel wird der Credential Vault entsperrt. Der Administrator gibt den Masterschlüssel jedes Mal beim Starten des Control Room ein. Sobald der Tresor geöffnet ist, wird der Hauptschlüssel sofort aus dem Speicher gelöscht und nirgendwo in der Automation Anywhere-Plattform gespeichert.
Datenverschlüsselungsschlüssel
Dieser AES-256-Bit-Schlüssel wird in der Control Room-Datenbank gespeichert und zum Ver- und Entschlüsseln der Anmeldedaten zum Zeitpunkt der Speicherung oder Bereitstellung verwendet. Dieser Schlüssel wird mit dem Hauptschlüssel verschlüsselt. Der Datenverschlüsselungsschlüssel verbleibt ausschließlich im Credential Vault. Die Ver- und Entschlüsselung der Anmeldedaten erfolgt im Credential Vault.

Schutz von Daten im Ruhezustand

Neben dem Verschlüsseln lokaler Anmeldedaten und der Auswahl der von Bots verwendeten Laufzeitdaten bietet der Credential Vault einen sicheren Speicher für vertrauliche Konfigurationsparameter und Details zu den integrierten Versionskontroll- und E-Mail-Diensten.