Automation 360 Cloud : accès et connectivité sécurisés

Vous pouvez développer et exécuter des robots en toute sécurité grâce à la sécurité d'accès de Automation 360 Cloud.

Architecture de haut niveau du déploiement du Cloud

Les informations suivantes fournissent un flux de travail de haut niveau pour le déploiement de Automation 360 Cloud :

  1. À l'aide d'un navigateur, vous vous connectez à la Control Room et créez des utilisateurs et des rôles. Vous effectuez ce processus sur le Cloud Automation 360.
  2. Vous installez l'Agent de robot sur votre périphérique Windows pour exécuter des robots localement. Vous effectuez ce processus sur votre infrastructure.
  3. Le flux de données entre le Automation 360 Cloud et l'Agent de robot sur le périphérique Windows de votre infrastructure est chiffré à l'aide du protocole TLS 1.2 (port 443 sortant uniquement).

L'image suivante montre l'architecture du Automation 360 Cloud :

Image montrant l'architecture pure d'Automation 360 Cloud

Sécurité de la gestion des identités et des accès (IAM) pour le système des utilisateurs

  • Lorsqu'un utilisateur administrateur se connecte à la Control Room du Automation 360 pour la première fois, l'administrateur peut configurer SAML 2.0 pour connecter la Control Room du Automation 360 Cloud à son propre fournisseur d'identité (IdP) afin que ses utilisateurs puissent se connecter à la Control Room à l'aide de l'authentification multifactorielle (MFA).
  • L'administrateur peut ensuite créer les utilisateurs et les rôles ou autorisations nécessaires à l'exécution de certaines activités (comme le développement et l'exécution de robots) dans la Control Room.
  • Les utilisateurs de la Control Room de Automation 360 peuvent ensuite se connecter via MFA et commencer à créer et à exécuter des robots.
  • En outre, l'administrateur peut configurer une plage d'adresses IP autorisées pour gérer les connexions des utilisateurs via les paramètres de l'administrateur dans la Control Room.

Pour en savoir plus sur les capacités de Automation 360 Cloud, consultez Faire ses premiers pas avec Automation 360 Cloud.

Connectivité sécurisée pour exécuter des robots

Vous exécutez les robots localement sur une machine Windows sur laquelle l'Agent de robot est déployé. Vous pouvez télécharger et installer l'Agent de robot sur vos périphériques ou le déployer sur un pool de machines virtuelles.

Avant d'installer l'Agent de robot, les critères suivants doivent être remplis :
  • L'intégrité du périphérique sur lequel l'Agent de robot est installé est préservée.
  • L'entreprise de l'utilisateur a mis en place les dispositifs de sécurité et les contrôles nécessaires afin d'éviter la prise de contrôle de l'Agent de robot et les intrusions dans le système.
  • L'environnement de l'utilisateur est protégé contre les attaques axées sur le réseau, comme l'empoisonnement du cache du DNS (Domain Name System), l'usurpation du protocole ARP (Address Resolution Protocol), etc.
Remarque : Le Automation 360 Cloud comprend des contrôles d'opération de sécurité afin d'identifier les attaques de l'intercepteur ou « man-in-the-middle » (MITM) et les interceptions malveillantes.
Installation et enregistrement de l'Agent de robot
Lorsque vous enregistrez votre périphérique, le périphérique de l'Agent de robot reçoit un jeton Web JSON (JWT) pour lancer le processus d'enregistrement avec la Control Room. Si le jeton fourni par le périphérique de l'Agent de robot ne correspond pas au jeton fourni par la Control Room, la procédure d'enregistrement échoue. Cela permet d'authentifier le périphérique Agent de robot client auprès de Control Room.
Dans le mode d'installation et d'enregistrement en masse de l'Agent de robot, le périphérique de l'Agent de robot est mis en ligne, préenregistré avec l'URL de la Control Room spécifiée dans le fichier autoregistration.properties. Lors de l'utilisation des paramètres d'enregistrement en masse, il n'est pas possible d'entrer ou de spécifier une fausse URL de la Control Room sans disposer de privilèges d'administrateur sur ce périphérique. Lorsque l'Agent de robot démarre pour la première fois, il lit le fichier autoregistration.properties et s'enregistre auprès de l'URL de la Control Room qui est définie dans le fichier de propriétés. Par défaut, l'option permettant de passer l'enregistrement de l'Agent de robot d'une Control Room à une autre est désactivée. Seuls les administrateurs de la Control Room peuvent activer cette option. Si quelqu'un essaie d'enregistrer une autre URL lorsque cette option est désactivée, l'opération échouera immédiatement avec une erreur indiquant que la Control Room est déjà enregistrée et que le changement de l'URL de la Control Room n'est pas autorisé.
En accordant un accès en écriture à un dossier de cache à l'administrateur uniquement et des autorisations de lecture à tous les autres utilisateurs qui peuvent exécuter des robots, nous pouvons garantir que lorsqu'un robot est téléchargé dans le cache du périphérique, il ne peut pas être manipulé pour effectuer des opérations potentiellement dangereuses.
Communication entre l'Agent de robot et la Control Room
Le périphérique de l'Agent de robot établit une connexion WebSocket à la Control Room via le protocole HTTPS (port 443 sortant) et aucune connexion entrante n'est nécessaire.
  • Authentification du serveur : la négociation TLS (Transport Layer Security) garantit que le nom courant (NC) du certificat du serveur émis par l'autorité de certification (CA) bien connue correspond au nom d'hôte légitime figurant dans la chaîne d'approbation du certificat.
  • Authentification du client : Après l'enregistrement, l'Agent de robot doit toujours émettre une clé de jeton valide afin d'établir une connexion à la Control Room. Le jeton est chiffré à l'aide de la clé privée de l'Agent de robot et ne peut être déchiffré qu'avec la clé publique de l'Agent de robot utilisée au moment de l'enregistrement du périphérique de l'Agent de robot auprès de la Control Room. Le jeton authentifie également le périphérique de l'Agent de robot à chaque fois que l'Agent de robot se connecte à la Control Room.
La connexion des données entre le réseau d'un client et le service Cloud est protégée par une connexion TLS forte qui utilise des certificats de serveur RSA d'au moins 2 048 bits, des clés de chiffrement symétrique de 128 bits et des protocoles TLS plus puissants. Cette connexion sécurisée rend pratiquement impossible la violation de la connexion TLS établie.
Une fois la connexion WebSocket établie, la communication entre le réseau d'un client et le service Cloud est sécurisée et bidirectionnelle. La connexion entre le périphérique de l'Agent de robot et la Control Room hébergée par le Automation 360 Cloud est permanente. En cas de perte de connexion, elle est automatiquement rétablie. Cette connexion est utilisée pour télécharger les robots à exécuter et envoyer des informations sur l'état opérationnel à la Control Room.
Remarque : La connectivité est établie une seule fois et non pour chaque robot.
Planifier les robots à exécuter
Les utilisateurs de la Control Room peuvent planifier l'exécution de robots. Les robots compilés sont téléchargés pour être exécutés sur les périphériques de l'Agent de robot et les journaux opérationnels sont envoyés par les périphériques de l'Agent de robot à la Control Room.
Pour que les robots s'exécutent, l'Agent de robot établit une session Windows active en s'authentifiant en tant qu'utilisateur Bot Runner sous licence sur le périphérique de l'Agent de robot.
Informations d'identification sécurisées pour les robots
Les Robots qui s'exécutent sur les périphériques de l'Agent de robot doivent se connecter au périphérique à l'aide d'informations d'identification. Vous pouvez stocker les informations d'identification en toute sécurité dans le coffre des informations d'identification de la Control Room de Automation 360 Cloud. Vous pouvez également stocker les informations d'identification dans un système de gestion des clés hébergé par le client (par exemple, CyberArk). Lorsque vous stockez des informations d'identification dans le système de gestion des clés hébergé par le client, vous devez disposer d'une connectivité entre la Control Room et le système de gestion des clés du client. Pour assurer la connectivité et autoriser l'accès, vous devez configurer les adresses IP Automation 360 Cloud de la région Automation 360 Cloud qui héberge la Control Room dans son pare-feu. Pour plus d'informations, consultez Adresses IP Automation 360 pour les intégrations externes.

Opérations sécurisées dans Automation 360 Cloud

Automation 360 Cloud est exécuté en toute sécurité et répond aux normes de conformité pour : SOC 1, SOC 2, ISO 27001 et HITRUST.