Automation 360 cloud : accès et connectivité sécurisés

Vous pouvez développer et exécuter des robots en toute sécurité grâce à la sécurité d\'accès de Automation 360 cloud.

Architecture de haut niveau du déploiement du cloud

Le diagramme d\'architecture suivant fournit un flux de travail de haut niveau pour le déploiement de Automation 360 cloud : cloud-architecture

  1. À l\'aide d\'un navigateur, vous vous connectez à la Control Room et créez des utilisateurs et des rôles. Vous effectuez ce processus sur le Automation 360 cloud.
  2. Vous installez l\'Bot Agent sur votre périphérique Windows pour exécuter des robots localement. Vous effectuez ce processus sur votre infrastructure.
  3. Le flux de données entre le Automation 360 cloud et Bot Agent l\' sur le périphérique Windows de votre infrastructure est chiffré à l\'aide du protocole TLS (port 443 sortant uniquement).

Sécurité de la gestion des identités et des accès (IAM) pour le système des utilisateurs

  • Lorsqu\'un utilisateur administrateur se connecte à la Automation 360 du Control Room pour la première fois, l\'administrateur peut configurer SAML 2.0 pour connecter la Automation 360 du cloud Control Room à son propre fournisseur d\'identité (IdP) afin que ses utilisateurs puissent se connecter à la Control Room à l\'aide de l\'authentification multifactorielle (MFA).
  • L\'administrateur peut ensuite créer les utilisateurs et les rôles ou autorisations nécessaires à l\'exécution de certaines activités (comme le développement et l\'exécution de robots) dans la Control Room.
  • Les utilisateurs de la Automation 360 de Control Room peuvent ensuite se connecter via MFA et commencer à créer et à exécuter des robots.
  • En outre, l\'administrateur peut configurer une plage d\'adresses IP autorisées pour gérer les connexions des utilisateurs via les paramètres de l\'administrateur dans la Control Room.

Pour en savoir plus sur les capacités de Automation 360 cloud, consultez Faire ses premiers pas avec Automation 360 cloud.

Connectivité sécurisée pour exécuter des robots

Vous exécutez les robots localement sur une machine Windows sur laquelle l\'Bot Agent est déployé. Vous pouvez télécharger et installer l\'Bot Agent sur vos périphériques ou le déployer sur un pool de machines virtuelles.

Avant d\'installer l\'Bot Agent, les critères suivants doivent être remplis :
  • L\'intégrité du périphérique sur lequel l\'Bot Agent est installé est préservée.
  • L\'entreprise de l\'utilisateur a mis en place les dispositifs de sécurité et les contrôles nécessaires afin d\'éviter la prise de contrôle de l\'Bot Agent et les intrusions dans le système.
  • L\'environnement de l\'utilisateur est protégé contre les attaques axées sur le réseau, comme l\'empoisonnement du cache du DNS (Domain Name System), l\'usurpation du protocole ARP (Address Resolution Protocol), etc.
Remarque : Le Automation 360 cloud comprend des contrôles d\'opération de sécurité afin d\'identifier les attaques de l\'intercepteur ou « man-in-the-middle » (MITM) et les interceptions malveillantes.
Installation et enregistrement de l\'Bot Agent
Lorsque vous enregistrez votre périphérique, le périphérique de l\'Bot Agent reçoit un jeton Web JSON (JWT) pour lancer le processus d\'enregistrement avec la Control Room. Si le jeton fourni par le périphérique de l\'Bot Agent ne correspond pas au jeton fourni par la Control Room, la procédure d\'enregistrement échoue. Cela permet d\'authentifier le périphérique Bot Agent client auprès de Control Room.
Dans le mode d\'installation et d\'enregistrement en masse de l\'Bot Agent, le périphérique de l\'Bot Agent est mis en ligne, préenregistré avec l\'URL de la Control Room spécifiée dans le fichier autoregistration.properties. Lors de l\'utilisation des paramètres d\'enregistrement en masse, il n\'est pas possible d\'entrer ou de spécifier une fausse URL de la Control Room sans disposer de privilèges d\'administrateur sur ce périphérique. Lorsque l\'Bot Agent démarre pour la première fois, il lit le fichier autoregistration.properties et s\'enregistre auprès de l\'URL de la Control Room qui est définie dans le fichier de propriétés. Par défaut, l\'option permettant de passer l\'enregistrement de l\'Bot Agent d\'une Control Room à une autre est désactivée. Seuls les administrateurs de la Control Room peuvent activer cette option. Si quelqu\'un essaie d\'enregistrer une autre URL lorsque cette option est désactivée, l\'opération échouera immédiatement avec une erreur indiquant que la Control Room est déjà enregistrée et que le changement de l\'URL de la Control Room n\'est pas autorisé.
En accordant un accès en écriture à un dossier de cache à l\'administrateur uniquement et des autorisations de lecture à tous les autres utilisateurs qui peuvent exécuter des robots, nous pouvons garantir que lorsqu\'un robot est téléchargé dans le cache du périphérique, il ne peut pas être manipulé pour effectuer des opérations potentiellement dangereuses.
Communication entre l\'Bot Agent et la Control Room
Le périphérique de l\'Bot Agent établit une connexion WebSocket à la Control Room via le protocole HTTPS (port 443 sortant) et aucune connexion entrante n\'est nécessaire.
  • Authentification du serveur : la négociation TLS (Transport Layer Security) garantit que le nom courant (NC) du certificat du serveur émis par l\'autorité de certification (CA) bien connue correspond au nom d\'hôte légitime figurant dans la chaîne d\'approbation du certificat.
  • Authentification du client : Après l\'enregistrement, un JSON Web Token (JWT) valide est requis de la part de l\'Bot Agent pour établir une connexion à la Control Room. Ce jeton généré par le Bot Agent et signé à l\'aide de la clé privée Bot Agent, est utilisé pour vérifier l\'identité du Bot Agent et pour s\'assurer que le jeton est authentifié. Le jeton peut être vérifié à l\'aide de la clé publique Bot Agent envoyée lors du processus d\'enregistrement au Control Room. Le même processus est utilisé pour authentifier le périphérique de l\'Bot Agent à chaque fois qu\'il se connecte à l\'Control Room. Une fois le jeton vérifié, un nouveau jeton Web JSON (JWT) est généré par le Control Room et envoyé au Bot Agent pour convertir la connexion HTTP existante en une connexion WebSocket.
La connexion des données entre le réseau d\'un client et le service cloud est protégée par une connexion TLS forte qui utilise des certificats de serveur RSA d\'au moins 2 048 bits, des clés de chiffrement symétrique de 128 bits et des protocoles TLS plus puissants. Cette connexion sécurisée rend pratiquement impossible la violation de la connexion TLS établie.
Une fois la connexion WebSocket établie, la communication entre le réseau d\'un client et le service cloud est sécurisée et bidirectionnelle. La connexion entre le périphérique de l\'Bot Agent et la Automation 360 hébergée par le cloud Control Room est permanente. En cas de perte de connexion, elle est automatiquement rétablie. Cette connexion est utilisée pour télécharger les robots à exécuter et envoyer des informations sur l\'état opérationnel à la Control Room.
Remarque : La connectivité est établie une seule fois et non pour chaque robot.
Planifier les robots à exécuter
Les utilisateurs de la Control Room peuvent planifier l\'exécution de robots. Les robots compilés sont téléchargés pour être exécutés sur les périphériques de l\'Bot Agent et les journaux opérationnels sont envoyés par les périphériques de l\'Bot Agent à la Control Room.
Pour que les robots s\'exécutent, l\'Bot Agent établit une session Windows active en s\'authentifiant en tant qu\'utilisateur Bot Runner sous licence sur le périphérique de l\'Bot Agent.
Informations d\'identification sécurisées pour les robots
Les Robots qui s\'exécutent sur les périphériques de l\'Bot Agent doivent se connecter au périphérique à l\'aide d\'informations d\'identification. Vous pouvez stocker les informations d\'identification en toute sécurité dans le coffre des informations d\'identification de la Automation 360 de cloud Control Room. Vous pouvez également stocker les informations d\'identification dans un système de gestion des clés hébergé par le client (par exemple, CyberArk). Lorsque vous stockez des informations d\'identification dans le système de gestion des clés hébergé par le client, vous devez disposer d\'une connectivité entre la Control Room et le système de gestion des clés du client. Pour assurer la connectivité et autoriser l\'accès, vous devez configurer les adresses IP Automation 360 cloud de la région Automation 360 cloud qui héberge la Control Room dans son pare-feu. Pour plus d\'informations, consultez Adresses IP Control Room pour les intégrations externes.

Opérations sécurisées dans Automation 360 cloud

Automation 360 cloud est sécurisé et répond aux normes de conformité pour : SOC 1, SOC 2, ISO 27001:2022 : Systèmes de management de la sécurité de l\'information (SMSI), ISO 27017:2015 : Contrôles de sécurité de l\'information pour les cloud services ), ISO 27018:2019 : Protection des informations personnellement identifiables (PII) dans les cloud environnements et HITRUST.