Sicherheitsarchitektur-Modell

Die Automation Anywhere Cognitive-Sicherheitsarchitektur basiert auf den Prinzipien der geringsten Berechtigungen und einem strengen Aufgabentrennungsmodell mit 41 implementierten technischen Kontrollen aus sieben NIST Control Families.

Das NIST-Framework wurde als Grundlage für Best Practices ausgewählt, um die überall implementierten Kontrollen aufzuzählen. Übersetzungen von NIST in andere Kontroll-Frameworks sind allgemein verfügbar (siehe Ressourcen am Ende dieses Abschnitts).

Die Produktsicherheitsarchitektur wird vom Produktmanagementteam von Automation Anywhere verwaltet und ist Teil eines formalen Richtlinienmodells, das integraler Bestandteil der Development Roadmap von Automation Anywhere ist. In der folgenden Tabelle sind die Control Families und die entsprechenden Funktionen und Sicherheitsauswirkungen aufgeführt. Weitere Einzelheiten zu jeder Control Family und wie die Sicherheitsarchitektur in Automation Anywhere-Produkten implementiert wird, finden Sie in den entsprechenden Themen.

Control Family Kontrollcode Control Room-Funktion Sicherheitsauswirkung
Zugriffssteuerungen AC-3, 6, 7, 9, 10, 12 Zentrale Richtlinienkontrolle Setzt Zugriffsbeschränkungen für die Änderungskontrolle und das Prinzip der geringsten Berechtigungen für Systemkomponenten durch:
  • Der detaillierte Zugriff auf Bots und Bot Runners wird über RBAC gesteuert,
  • Bot- und Bot Runner-Domänen können über RBAC Rollen zugewiesen werden.
  • RBAC-Rollen werden vollständig geprüft.
AC-2, 3, 5, 6 Rollenbasierte Zugriffssteuerung (RBAC) Ermöglicht den Nutzerzugriff, schränkt die betriebliche Berechtigungen ein und setzt die Grundsätze der geringsten Berechtigungen durch.
AC-17 Bot-Repository Bot-Versionierungssystem mit Zugriffsbeschränkungen.
AC-3, 7, 9, 10, 11 Bot- und Bot Runner-Verschlüsselung Verschlüsselt und verschleiert vertrauliche Daten auf Bot-Ebene über den Credential Vault und die Integration in Schlüsselverwaltungssystemen.
(Änderungs-)Management von Konfigurationen CM-2, 5, 6, 7, 9 Zentralisierte Bot Runner-Kontrolle Schränkt die Funktionalität auf der Grundlage von Rollen und Domänen ein und implementiert Deny-all- und Allow-by-Exception-Szenarien.
CM-10 Zentralisierte Lizenzierung Zentralisierte Bereitstellung, Verfolgung und Durchsetzung von Bot Creator- und Bot Runner-Lizenzen
CM-2, 5, 6, 8 Bot Operations Room
CM-8 Bestandskontrolle Pflegt einen zentralen Bestand aller Bots und Laufzeiten.
Bot Creator-Konfigurationsverwaltung SA-10 Bot Creator-Verwaltung, Ein- und Auschecken von Bots Control Room wendet das Management des Software-Lebenszyklus von der Entwicklung über den Test bis zur Produktion auf Bots an. Die Bot-Versionierung ermöglicht die Änderungskontrolle von Automatisierungen.
Audit und Verantwortlichkeit AU-1 bis 15 Audit-Trail Automatisierte Ereignisprotokolle, die auf drei Ebenen erfasst werden: Control Room, Bot Runners und Bot Creators. Die Unleugbarkeit wird durch schreibgeschützte Protokolle gewährleistet und alle Nutzeridentitäten sind an Aktionen gebunden.
Identifizierung und Authentifizierung IA-1 bis 5 Active Directory-Integration, Bot Runner-ID und Nachweise Implementiert die Sicherheit der Windows-Plattform, einschließlich kryptografischer bidirektionaler Authentifizierung, Bot Runner-Identifizierung und Nachweise sowie Richtlinien für die Passwortverwaltung. Credential Vault mit Integration in Schlüsselverwaltungssysteme, schützt die Integrität von Anmeldedaten
Vorfallreaktion IR-4, 6 Vorfallreaktion In Bot Insight eingebettete Analysefunktionen können Ereignisse überwachen und Warnmeldungen an SIEM-Systeme senden, die dann darauf reagieren.
Kontrollierte Wartung MA-2 Automatisierte Wartung Das Control Room-Versionierungssystem bietet einen automatischen Mechanismus zur Aktualisierung von Bots, bei dem historische Informationen beibehalten werden.

(1) Ressourcen: ISACA bietet Handbücher, in denen NIST SP800-53 anderen Sicherheits-Frameworks wie CoBIT (SOX), SANS Top20 zugeordnet wird.