Automation 360 Nube para obtener acceso y conectividad seguros

Puede desarrollar y ejecutar bots de forma segura mediante la seguridad de acceso de Nube de Automation 360.

Arquitectura de alto nivel de implementación de Nube

La siguiente información proporciona un flujo de trabajo de alto nivel de la implementación de la Nube de Automation 360:

  1. Si usa un navegador, se inicia sesión en la Control Room y se crean usuarios y roles. Puede realizar este proceso en la Nube de Automation 360.
  2. Debe instalar el Agente de bot en su dispositivo Windows para que los bots se ejecuten localmente. Realice este proceso en su infraestructura.
  3. El flujo de datos entre la Nube de Automation 360 y el Agente de bot en el dispositivo Windows en su infraestructura se cifra con TLS 1.2 (puerto de salida 443 solamente).

La siguiente imagen muestra la arquitectura de la Nube de Automation 360:

Imagen que muestra la arquitectura pura de la nube de Automation 360

Seguridad de administración de identidad y acceso (IAM) para el sistema del usuario

  • Cuando un usuario administrador inicia sesión en la Control Room de Automation 360 por primera vez, el administrador puede configurar SAML 2.0 para conectar la Control Room de la Nube de Automation 360 a su propio proveedor de identidad (IdP), de modo que sus usuarios puedan iniciar sesión en la Control Room con el uso de la MFA (autenticación multifactor).
  • Luego, el administrador puede crear los usuarios y roles o permisos necesarios para realizar ciertas actividades, como el desarrollo y la ejecución de bots, en la Control Room.
  • Los usuarios de la Control Room de Automation 360 pueden iniciar sesión con la MFA y comenzar a crear y ejecutar bots.
  • Además, el administrador puede configurar un rango de direcciones IP permitidas para gestionar los inicios de sesión de los usuarios a través de la configuración del administrador en la Control Room.

Para obtener más información sobre la Nube de Automation 360, consulte Comience a utilizar Nube Automation 360.

Conectividad segura para ejecutar bots

Los bots se ejecutan localmente en un equipo Windows en el que se implementa el Agente de bot. Puede descargar e instalar el Agente de bot en sus dispositivos o se pueden implementar en un grupo de máquinas virtuales.

Antes de instalar el Agente de bot, deben cumplirse los siguientes criterios:
  • La integridad del dispositivo en el que Agente de bot está instalado no se ve comprometida.
  • La organización de usuarios cuenta con medidas de seguridad y controles para evitar el control y las infracciones del Agente de bot de usuarios a nivel de sistema.
  • El entorno del usuario está seguro de ataques basados en la red, como envenenamiento de caché del sistema de nombres del dominio (DNS), falsificación de protocolo de resolución de direcciones (ARP), etc.
Nota: Automation 360 Nube incluye controles de funcionamiento de seguridad para comprobar ataques de hombre en el medio (MITM) e intercepciones maliciosas.
Instalación y registro de Agente de bot
Cuando registra su dispositivo, se le proporciona al dispositivo del Agente de bot un token de acceso JSON (JWT) para iniciar el proceso de registro con la Control Room. Si el token proporcionado por el dispositivo del Agente de bot no coincide con el token proporcionado por la Control Room, el proceso de registro fallará. Esto autentica el dispositivo cliente Agente de bot en el Control Room.
En el modo de instalación y registro masivo del Agente de bot, el dispositivo del Agente de bot se registra previamente en línea con la URL de la Control Room especificada en el archivo autoregistration.properties. Cuando se utiliza la configuración de registro masivo, no se puede escribir o especificar una URL de la Control Room falsa sin privilegios de administrador en ese dispositivo. Cuando el Agente de bot aparece por primera vez, leerá el archivo autoregistration.properties y se registrará en la URL de la Control Room que se especifica en el archivo de propiedades. Por defecto, la opción de cambiar el proceso de registro del Agente de bot de una Control Room a otra está desactivada. Solo los administradores de la Control Room pueden habilitar esta opción. Incluso si alguien intenta registrar otra URL cuando esta opción está inhabilitada, fallará inmediatamente con un error que mencione que la Control Room ya está registrada y que no se permite cambiar la URL de la Control Room.
Si se proporciona acceso de escritura a una carpeta de caché solo para el administrador y permisos de lectura a todos los demás usuarios que pueden ejecutar bots, le aseguramos que cuando un bot se descargue en la caché del dispositivo, no se podrá manipular para realizar acciones potencialmente dañinas.
Comunicación entre Agente de bot y Control Room
El dispositivo del Agente de bot inicia una conexión de websocket a la Control Room mediante una conexión HTTPS (puerto de salida 443) y no se requiere una conexión de entrada.
  • Autenticación de servidor: El protocolo de enlace seguridad de la capa de transporte (TLS) garantiza que el nombre común (CN) en el certificado del servidor emitido por la conocida autoridad de certificación (CA) coincida con el nombre de host legítimo, tal como se incluye en la cadena de confianza del certificado.
  • Autenticación del cliente: Siempre se requiere una clave de token válida desde el Agente de bot para establecer una conexión con la Control Room, después del registro. El token se cifra con la clave privada del Agente de bot y solo se puede descifrar con la clave pública del Agente de bot que se utilizó en el momento de registrar el dispositivo del Agente de bot en la Control Room. El token también autentica el dispositivo Agente de bot cada vez que se conecta el Agente de bot a la Control Room.
La conexión de datos entre la red de un cliente y el servicio en la Nube está protegida a través de una fuerte conexión TLS que aprovecha como mínimo los certificados de servidor RSA de 2048 bits, las claves de cifrado simétricas de 128 bits y los protocolos TLS más resistentes. Esta conexión segura hace que sea prácticamente imposible vulnerar la conexión TLS establecida.
Después de que se establece la conexión de websocket, la comunicación entre la red de un cliente y el servicio en la Nube está segura y es bidireccional. La conexión entre el dispositivo del Agente de bot y el host en la Control Room de la Nube de Automation 360 es permanente y se vuelve a establecer automáticamente si se pierde la conectividad. Esta conexión se utiliza para descargar la bots para ejecutar y enviar información de estado operativo a la Control Room.
Nota: La conectividad se establece solo una vez y no para cada bot.
Programar bots para su ejecución
Los usuarios Control Room pueden programar la ejecución de bots. Las compiladas bots se descargan para ejecutarse en los dispositivos Agente de bot y los registros operativos se envían desde los dispositivos Agente de bot a la Control Room.
Para ejecutar bots, el Agente de bot establece una sesión activa de Windows mediante la autenticación como el usuario con licencia Bot Runner en el dispositivo Agente de bot.
Credenciales seguras para bots
Los Bots que se ejecutan en los dispositivos del Agente de bot necesitan iniciar sesión en el dispositivo con credenciales. Puede almacenar credenciales de forma segura en la Credential Vault en la Control Room de la Nube de Automation 360. De manera alternativa, las credenciales también se pueden almacenar en un sistema de administración de claves alojado por el cliente (por ejemplo, CyberArk). Cuando almacena credenciales en el sistema de gestión de claves alojado por el cliente, debe tener una conexión entre la Control Room y el sistema de gestión de claves del cliente. Para establecer la conexión y permitir el acceso, debe configurar las direcciones IP de la Nube de Automation 360 para la región específica de la Nube de Automation 360 que aloja la Control Room en su servidor de seguridad. Para obtener más información, consulte Direcciones IP de Automation 360 para integraciones externas.

Operaciones seguras en Automation 360 Nube

La Nube de Automation 360 se ejecuta de forma segura y cumple estas normas de conformidad: SOC 1, SOC 2, ISO 27001 y HITRUST.