Automation 360 Nube para obtener acceso y conectividad seguros

Puede desarrollar y ejecutar bots de forma segura mediante la seguridad de acceso de Automation 360 de Nube.

Arquitectura de alto nivel de implementación de Nube

El siguiente diagrama de arquitectura proporciona un flujo de trabajo de alto nivel de la implementación de Automation 360 Nube:cloud-architecture

  1. Si usa un navegador, se inicia sesión en la Control Room y se crean usuarios y roles. Puede realizar este proceso en la Nube de Automation 360.
  2. Debe instalar el Agente de bot en su dispositivo Windows para que los bots se ejecuten localmente. Realice este proceso en su infraestructura.
  3. El flujo de datos entre la Automation 360 de Agente de bot y Nube en la infraestructura del dispositivo Windows se cifra con TLS (puerto de salida 443 únicamente).

Seguridad de administración de identidad y acceso (IAM) para el sistema del usuario

  • Cuando un usuario administrador inicia sesión en Automation 360 de Control Room por primera vez, el administrador puede configurar SAML 2.0 para conectar Automation 360 de la Nube de Control Room a su propio proveedor de identidad (IdP), de modo que sus usuarios puedan iniciar sesión en Control Room con el uso de la MFA (autenticación multifactor).
  • Luego, el administrador puede crear los usuarios y roles o permisos necesarios para realizar ciertas actividades, como el desarrollo y la ejecución de bots, en la Control Room.
  • Los usuarios de Automation 360 de Control Room pueden iniciar sesión con la MFA y comenzar a crear y ejecutar bots.
  • Además, el administrador puede configurar un rango de direcciones IP permitidas para gestionar los inicios de sesión de los usuarios a través de la configuración del administrador en la Control Room.

Para obtener más información sobre la Automation 360 de Nube, consulte Comience a utilizar Automation 360 Nube.

Conectividad segura para ejecutar bots

Los bots se ejecutan localmente en un equipo Windows en el que se implementa el Agente de bot. Puede descargar e instalar el Agente de bot en sus dispositivos o se pueden implementar en un grupo de máquinas virtuales.

Antes de instalar el Agente de bot, deben cumplirse los siguientes criterios:
  • La integridad del dispositivo en el que Agente de bot está instalado no se ve comprometida.
  • La organización de usuarios cuenta con medidas de seguridad y controles para evitar el control y las infracciones del Agente de bot de usuarios a nivel de sistema.
  • El entorno del usuario está seguro de ataques basados en la red, como envenenamiento de caché del sistema de nombres del dominio (DNS), falsificación de protocolo de resolución de direcciones (ARP), etc.
Nota: La Nube de Automation 360 incluye controles de funcionamiento de seguridad para detectar ataques de intermediario (man in the middle, MITM) e intercepciones maliciosas.
Instalación y registro de Agente de bot
Cuando registra su dispositivo, se le proporciona al dispositivo del Agente de bot un token de acceso JSON (JWT) para iniciar el proceso de registro con la Control Room. Si el token proporcionado por el dispositivo del Agente de bot no coincide con el token proporcionado por la Control Room, el proceso de registro fallará. Esto autentica el dispositivo cliente Agente de bot en la Control Room.
En el modo de instalación y registro masivo del Agente de bot, el dispositivo del Agente de bot se registra previamente en línea con la URL de la Control Room especificada en el archivo autoregistration.properties. Cuando se utiliza la configuración de registro masivo, no se puede escribir o especificar una URL de la Control Room falsa sin privilegios de administrador en ese dispositivo. Cuando el Agente de bot aparece por primera vez, leerá el archivo autoregistration.properties y se registrará en la URL de la Control Room que se especifica en el archivo de propiedades. Por defecto, la opción de cambiar el proceso de registro del Agente de bot de una Control Room a otra está desactivada. Solo los administradores de la Control Room pueden habilitar esta opción. Incluso si alguien intenta registrar otra URL cuando esta opción está inhabilitada, fallará inmediatamente con un error que mencione que la Control Room ya está registrada y que no se permite cambiar la URL de la Control Room.
Si se proporciona acceso de escritura a una carpeta de caché solo para el administrador y permisos de lectura a todos los demás usuarios que pueden ejecutar bots, le aseguramos que cuando un bot se descargue en la caché del dispositivo, no se podrá manipular para realizar acciones potencialmente dañinas.
Comunicación entre Agente de bot y Control Room
El dispositivo del Agente de bot inicia una conexión de websocket a la Control Room mediante una conexión HTTPS (puerto de salida 443) y no se requiere una conexión de entrada.
  • Autenticación de servidor: El protocolo de enlace seguridad de la capa de transporte (TLS) garantiza que el nombre común (CN) en el certificado del servidor emitido por la conocida autoridad de certificación (CA) coincida con el nombre de host legítimo, tal como se incluye en la cadena de confianza del certificado.
  • Autenticación del cliente: Después del registro, se requiere un token web JSON (JWT) válido desde el Agente de bot para establecer una conexión con la Control Room. Este token generado por el Agente de bot y firmado con la clave privada del Agente de bot, se utiliza para verificar la identidad del Agente de bot y para asegurar que el token esté autenticado. El token se puede verificar con la clave pública del Agente de bot enviada durante el proceso de registro a la Control Room. El mismo proceso se utiliza para autenticar el dispositivo del Agente de bot cada vez que se conecta a la Control Room. Después de que se verifica el token, la Control Room genera un nuevo token web JSON (JWT) y o envía al Agente de bot para convertir la conexión HTTP existente en una conexión de WebSocket.
La conexión de datos entre la red de un cliente y el servicio en la Nube está protegida a través de una fuerte conexión TLS que aprovecha como mínimo los certificados de servidor RSA de 2048 bits, las claves de cifrado simétricas de 128 bits y los protocolos TLS más resistentes. Esta conexión segura hace que sea prácticamente imposible vulnerar la conexión TLS establecida.
Después de que se establece la conexión de websocket, la comunicación entre la red de un cliente y el servicio en la Nube está segura y es bidireccional. La conexión entre el dispositivo del Agente de bot y el host en Automation 360 de la Nube de Control Room es permanente y se vuelve a establecer automáticamente si se pierde la conectividad. Esta conexión se utiliza para descargar la bots para ejecutar y enviar información de estado operativo a la Control Room.
Nota: La conectividad se establece solo una vez y no para cada bot.
Programar bots para su ejecución
Los usuarios Control Room pueden programar la ejecución de bots. Las compiladas bots se descargan para ejecutarse en los dispositivos Agente de bot y los registros operativos se envían desde los dispositivos Agente de bot a la Control Room.
Para ejecutar bots, el Agente de bot establece una sesión activa de Windows mediante la autenticación como el usuario con licencia Bot Runner en el dispositivo Agente de bot.
Credenciales seguras para bots
Los Bots que se ejecutan en los dispositivos del Agente de bot necesitan iniciar sesión en el dispositivo con credenciales. Puede almacenar credenciales de forma segura en la bóveda de credenciales en Automation 360 de la Nube de Control Room. De manera alternativa, las credenciales también se pueden almacenar en un sistema de administración de claves alojado por el cliente (por ejemplo, CyberArk). Cuando almacena credenciales en el sistema de gestión de claves alojado por el cliente, debe tener una conexión entre la Control Room y el sistema de gestión de claves del cliente. Para establecer la conexión y permitir el acceso, debe configurar las direcciones IP de la Automation 360 de Nube para la región específica de la Automation 360 de Nube que aloja Control Room en su servidor de seguridad. Para obtener más información, consulte Direcciones IP del Control Room para integraciones externas.

Operaciones seguras en la Nube de Automation 360

Automation 360 Nube es seguro y cumple con estas normas de conformidad: SOC 1, SOC 2, ISO 27001:2022: Sistemas de Gestión de la Seguridad de la Información (ISMS), ISO 27017:2015: Controles de Seguridad de la Información para los Servicios de Nube), ISO 27018:2019: Protección de la Información de Identificación Personal (PII) en entornos de Nube y HITRUST.