Lea y revise la documentación de Automation Anywhere

Cerrar contenidos

Contenidos

Abrir contenidos

Arquitectura de seguridad

  • Actualizado: 5/10/2019
    • 11.3.x
    • Explorar
    • Enterprise
    • Flujo del proceso

Arquitectura de seguridad

Muchas de las empresas financieras más grandes del mundo confían en la plataforma de fuerza de trabajo digital segura de Automation Anywhere para automatizar sus operaciones confidenciales.

La arquitectura de seguridad de la plataforma se basa en el principio de privilegio mínimo y en un modelo estricto de separación de tareas con 41 controles técnicos implementados en siete familias de control NIST 800-53r4. Los controles se aplican en tres componentes: Control Room (CR), un servidor basado en Windows y varias instancias de Bot Creator (sistemas de desarrollo) y Bot Runner (tiempos de ejecución de bots), en todo el ciclo de vida del bot, desde la creación hasta el desmantelamiento. Esta arquitectura de seguridad y los controles subyacentes se ajustan a las prácticas recomendadas del sector definidas por el NIST, y se pueden asignar sin dificultad a otros marcos de trabajo, como CoBIT (SOX) e ISO 27002.

Controles de acceso. Automation Anywhere Enterprise (AAE)

Controles de acceso. Automation Anywhere Enterprise (AAE) limita y controla el acceso humano y el acceso de los bots a los recursos lógicos en los componentes.

  • Dos planos de control independientes aplican el principio del menor privilegio. Únicamente los desarrolladores pueden leer o escribir, mientras que solo los usuarios autorizados de CR pueden ejecutar automatizaciones, (CR autoriza y ejecuta) sujetos a un RBAC (control de acceso basado en roles) exhaustivo hasta las automatizaciones individuales (bots), instancias de Bot Runner y dominios.
  • Se aplica la separación de tareas en el nivel del bot. Cada bot se ofusca y ejecuta con sus instancias de Bot Runner autorizadas correspondientes. La manipulación en la ejecución se evita con el modo de sigilo y la inhabilitación completa de la interfaz de usuario.
  • La ejecución de bots se controla mediante el RBAC. Los privilegios de dominio se definen en los grupos de bots e instancias de Bot Runner.
  • Seguridad en reposo y en tránsito. Todas las credenciales de acceso están protegidas en reposo mediante una bóveda de credenciales central con soporte para almacenamiento de credenciales de terceros, como CyberArk. Todas las comunicaciones están protegidas en tránsito por medio de SSL y TLS.

Administración de la configuración

La administración de la configuración se controla tanto en el nivel de los bots como de las instancias de Bot Runner .

  • CR autoriza, aplica y registra los cambios en todas las instancias de Bot Creator y Bot Runner.
  • Los bots se controlan por medio de un sistema de control de versiones sólido para la restauración a versiones anteriores y el registro completo de eventos.
  • El control de cambios de un bot en ejecución se aplica por medio del cifrado y la autenticación.

Identificación y autenticación

La identificación y la autenticación se controlan mediante los servicios de autenticación de Windows.

  • Bot Creator utiliza Active Directory para la autenticación
  • Bot Runner tiene dos niveles de autenticación, para el inicio de sesión automático de Bot Runner y para la ejecución de bots.
  • Las credenciales se protegen en reposo y en tránsito por medio de la Bóveda de Credenciales o de la integración con productos de terceros.

Evaluación de riesgos

La evaluación de riesgos se lleva a cabo en pruebas de vulnerabilidad estáticas, dinámicas y basadas en la red. La auditoría y la responsabilidad se llevan a cabo mediante la captura de eventos, el registro y la auditoría de los tres componentes con captura de eventos granular en el nivel del bot y del no repudio. El análisis integrado de Bot Insight proporciona una respuesta ante incidentes casi en tiempo real y una integración con los sistemas de administración de información y eventos de seguridad.

Enviar comentarios