Automation 360 Cloud para obtener acceso y conectividad seguros

Puede desarrollar y ejecutar bots de forma segura mediante la seguridad de acceso de Automation 360 de Cloud.

Arquitectura de alto nivel de implementación de Cloud

El siguiente diagrama de arquitectura proporciona un flujo de trabajo de alto nivel de la implementación de Automation 360 Cloud:cloud-architecture

  1. Si usa un navegador, se inicia sesión en la Control Room y se crean usuarios y roles. Puede realizar este proceso en la Cloud de Automation 360.
  2. Debe instalar el Bot Agent en su dispositivo Windows para que los bots se ejecuten localmente. Realice este proceso en su infraestructura.
  3. El flujo de datos entre la Automation 360 de Bot Agent y Cloud en la infraestructura del dispositivo Windows se cifra con TLS (puerto de salida 443 únicamente).

Seguridad de administración de identidad y acceso (IAM) para el sistema del usuario

  • Cuando un usuario administrador inicia sesión en Automation 360 de Control Room por primera vez, el administrador puede configurar SAML 2.0 para conectar Automation 360 de la Cloud de Control Room a su propio proveedor de identidad (IdP), de modo que sus usuarios puedan iniciar sesión en Control Room con el uso de la MFA (autenticación multifactor).
  • Luego, el administrador puede crear los usuarios y roles o permisos necesarios para realizar ciertas actividades, como el desarrollo y la ejecución de bots, en la Control Room.
  • Los usuarios de Automation 360 de Control Room pueden iniciar sesión con la MFA y comenzar a crear y ejecutar bots.
  • Además, el administrador puede configurar un rango de direcciones IP permitidas para gestionar los inicios de sesión de los usuarios a través de la configuración del administrador en la Control Room.

Para obtener más información sobre la Automation 360 de Cloud, consulte Comience a utilizar Automation 360 Cloud.

Conectividad segura para ejecutar bots

Los bots se ejecutan localmente en un equipo Windows en el que se implementa el Bot Agent. Puede descargar e instalar el Bot Agent en sus dispositivos o se pueden implementar en un grupo de máquinas virtuales.

Antes de instalar el Bot Agent, deben cumplirse los siguientes criterios:
  • La integridad del dispositivo en el que Bot Agent está instalado no se ve comprometida.
  • La organización de usuarios cuenta con medidas de seguridad y controles para evitar el control y las infracciones del Bot Agent de usuarios a nivel de sistema.
  • El entorno del usuario está seguro de ataques basados en la red, como envenenamiento de caché del sistema de nombres del dominio (DNS), falsificación de protocolo de resolución de direcciones (ARP), etc.
Nota: La Cloud de Automation 360 incluye controles de funcionamiento de seguridad para detectar ataques de intermediario (man in the middle, MITM) e intercepciones maliciosas.
Instalación y registro de Bot Agent
Cuando registra su dispositivo, se le proporciona al dispositivo del Bot Agent un token de acceso JSON (JWT) para iniciar el proceso de registro con la Control Room. Si el token proporcionado por el dispositivo del Bot Agent no coincide con el token proporcionado por la Control Room, el proceso de registro fallará. Esto autentica el dispositivo cliente Bot Agent en la Control Room.
En el modo de instalación y registro masivo del Bot Agent, el dispositivo del Bot Agent se registra previamente en línea con la URL de la Control Room especificada en el archivo autoregistration.properties. Cuando se utiliza la configuración de registro masivo, no se puede escribir o especificar una URL de la Control Room falsa sin privilegios de administrador en ese dispositivo. Cuando el Bot Agent aparece por primera vez, leerá el archivo autoregistration.properties y se registrará en la URL de la Control Room que se especifica en el archivo de propiedades. Por defecto, la opción de cambiar el proceso de registro del Bot Agent de una Control Room a otra está desactivada. Solo los administradores de la Control Room pueden habilitar esta opción. Incluso si alguien intenta registrar otra URL cuando esta opción está inhabilitada, fallará inmediatamente con un error que mencione que la Control Room ya está registrada y que no se permite cambiar la URL de la Control Room.
Si se proporciona acceso de escritura a una carpeta de caché solo para el administrador y permisos de lectura a todos los demás usuarios que pueden ejecutar bots, le aseguramos que cuando un bot se descargue en la caché del dispositivo, no se podrá manipular para realizar acciones potencialmente dañinas.
Comunicación entre Bot Agent y Control Room
El dispositivo del Bot Agent inicia una conexión de websocket a la Control Room mediante una conexión HTTPS (puerto de salida 443) y no se requiere una conexión de entrada.
  • Autenticación de servidor: El protocolo de enlace seguridad de la capa de transporte (TLS) garantiza que el nombre común (CN) en el certificado del servidor emitido por la conocida autoridad de certificación (CA) coincida con el nombre de host legítimo, tal como se incluye en la cadena de confianza del certificado.
  • Autenticación del cliente: Después del registro, se requiere un token web JSON (JWT) válido desde el Bot Agent para establecer una conexión con la Control Room. Este token generado por el Bot Agent y firmado con la clave privada del Bot Agent, se utiliza para verificar la identidad del Bot Agent y para asegurar que el token esté autenticado. El token se puede verificar con la clave pública del Bot Agent enviada durante el proceso de registro a la Control Room. El mismo proceso se utiliza para autenticar el dispositivo del Bot Agent cada vez que se conecta a la Control Room. Después de que se verifica el token, la Control Room genera un nuevo token web JSON (JWT) y o envía al Bot Agent para convertir la conexión HTTP existente en una conexión de WebSocket.
La conexión de datos entre la red de un cliente y el servicio en la Cloud está protegida a través de una fuerte conexión TLS que aprovecha como mínimo los certificados de servidor RSA de 2048 bits, las claves de cifrado simétricas de 128 bits y los protocolos TLS más resistentes. Esta conexión segura hace que sea prácticamente imposible vulnerar la conexión TLS establecida.
Después de que se establece la conexión de websocket, la comunicación entre la red de un cliente y el servicio en la Cloud está segura y es bidireccional. La conexión entre el dispositivo del Bot Agent y el host en Automation 360 de la Cloud de Control Room es permanente y se vuelve a establecer automáticamente si se pierde la conectividad. Esta conexión se utiliza para descargar la bots para ejecutar y enviar información de estado operativo a la Control Room.
Nota: La conectividad se establece solo una vez y no para cada bot.
Programar bots para su ejecución
Los usuarios Control Room pueden programar la ejecución de bots. Las compiladas bots se descargan para ejecutarse en los dispositivos Bot Agent y los registros operativos se envían desde los dispositivos Bot Agent a la Control Room.
Para ejecutar bots, el Bot Agent establece una sesión activa de Windows mediante la autenticación como el usuario con licencia Bot Runner en el dispositivo Bot Agent.
Credenciales seguras para bots
Los Bots que se ejecutan en los dispositivos del Bot Agent necesitan iniciar sesión en el dispositivo con credenciales. Puede almacenar credenciales de forma segura en la bóveda de credenciales en Automation 360 de la Cloud de Control Room. De manera alternativa, las credenciales también se pueden almacenar en un sistema de administración de claves alojado por el cliente (por ejemplo, CyberArk). Cuando almacena credenciales en el sistema de gestión de claves alojado por el cliente, debe tener una conexión entre la Control Room y el sistema de gestión de claves del cliente. Para establecer la conexión y permitir el acceso, debe configurar las direcciones IP de la Automation 360 de Cloud para la región específica de la Automation 360 de Cloud que aloja Control Room en su servidor de seguridad. Para obtener más información, consulte Direcciones IP del Control Room para integraciones externas.

Operaciones seguras en la Cloud de Automation 360

Automation 360 Cloud es seguro y cumple con estas normas de conformidad: SOC 1, SOC 2, ISO 27001:2022: Sistemas de Gestión de la Seguridad de la Información (ISMS), ISO 27017:2015: Controles de seguridad de la información para los servicios Cloud, ISO 27018:2019: Protección de la Información de Identificación Personal (PII) en entornos de Cloud y HITRUST.