Sicherheitsarchitektur-Modell
- Zuletzt aktualisiert2021/10/09
Sicherheitsarchitektur-Modell
Die Automation Anywhere Cognitive-Sicherheitsarchitektur basiert auf den Prinzipien der geringsten Berechtigungen und einem strengen Aufgabentrennungsmodell mit 41 implementierten technischen Kontrollen aus sieben NIST Control Families.
Das NIST-Framework wurde als Grundlage für Best Practices ausgewählt, um die überall implementierten Kontrollen aufzuzählen. Übersetzungen von NIST in andere Kontroll-Frameworks sind allgemein verfügbar (siehe Ressourcen am Ende dieses Abschnitts).
Die Produktsicherheitsarchitektur wird vom Produktmanagementteam von Automation Anywhere verwaltet und ist Teil eines formalen Richtlinienmodells, das integraler Bestandteil der Development Roadmap von Automation Anywhere ist. In der folgenden Tabelle sind die Control Families und die entsprechenden Funktionen und Sicherheitsauswirkungen aufgeführt. Weitere Einzelheiten zu jeder Control Family und wie die Sicherheitsarchitektur in Automation Anywhere-Produkten implementiert wird, finden Sie in den entsprechenden Themen.
Control Family | Kontrollcode | Control Room-Funktion | Sicherheitsauswirkung |
---|---|---|---|
Zugriffssteuerungen | AC-3, 6, 7, 9, 10, 12 | Zentrale Richtlinienkontrolle | Setzt Zugriffsbeschränkungen für die Änderungskontrolle und das Prinzip der geringsten Berechtigungen für Systemkomponenten durch:
|
AC-2, 3, 5, 6 | Rollenbasierte Zugriffssteuerung (RBAC) | Ermöglicht den Nutzerzugriff, schränkt die betriebliche Berechtigungen ein und setzt die Grundsätze der geringsten Berechtigungen durch. | |
AC-17 | Bot-Repository | Bot-Versionierungssystem mit Zugriffsbeschränkungen. | |
AC-3, 7, 9, 10, 11 | Bot- und Bot Runner-Verschlüsselung | Verschlüsselt und verschleiert vertrauliche Daten auf Bot-Ebene über den Credential Vault und die Integration in Schlüsselverwaltungssystemen. | |
(Änderungs-)Management von Konfigurationen | CM-2, 5, 6, 7, 9 | Zentralisierte Bot Runner-Kontrolle | Schränkt die Funktionalität auf der Grundlage von Rollen und Domänen ein und implementiert Deny-all- und Allow-by-Exception-Szenarien. |
CM-10 | Zentralisierte Lizenzierung | Zentralisierte Bereitstellung, Verfolgung und Durchsetzung von Bot Creator- und Bot Runner-Lizenzen | |
CM-2, 5, 6, 8 | Bot Operations Room | ||
CM-8 | Bestandskontrolle | Pflegt einen zentralen Bestand aller Bots und Laufzeiten. | |
Bot Creator-Konfigurationsverwaltung | SA-10 | Bot Creator-Verwaltung, Ein- und Auschecken von Bots | Control Room wendet das Management des Software-Lebenszyklus von der Entwicklung über den Test bis zur Produktion auf Bots an. Die Bot-Versionierung ermöglicht die Änderungskontrolle von Automatisierungen. |
Audit und Verantwortlichkeit | AU-1 bis 15 | Audit-Trail | Automatisierte Ereignisprotokolle, die auf drei Ebenen erfasst werden: Control Room, Bot Runner und Bot Creators. Die Unleugbarkeit wird durch schreibgeschützte Protokolle gewährleistet und alle Nutzeridentitäten sind an Aktionen gebunden. |
Identifizierung und Authentifizierung | IA-1 bis 5 | Active Directory-Integration, Bot Runner-ID und Nachweise | Implementiert die Sicherheit der Windows-Plattform, einschließlich kryptografischer bidirektionaler Authentifizierung, Bot Runner-Identifizierung und Nachweise sowie Richtlinien für die Passwortverwaltung. Credential Vault mit Integration in Schlüsselverwaltungssysteme, schützt die Integrität von Anmeldedaten |
Vorfallreaktion | IR-4, 6 | Vorfallreaktion | In Bot Insight eingebettete Analysefunktionen können Ereignisse überwachen und Warnmeldungen an SIEM-Systeme senden, die dann darauf reagieren. |
Kontrollierte Wartung | MA-2 | Automatisierte Wartung | Das Control Room-Versionierungssystem bietet einen automatischen Mechanismus zur Aktualisierung von Bots, bei dem historische Informationen beibehalten werden. |
(1) Ressourcen: ISACA bietet Handbücher, in denen NIST SP800-53 anderen Sicherheits-Frameworks wie CoBIT (SOX), SANS Top20 zugeordnet wird.