Modèle d'architecture de la sécurité
L'architecture de sécurité Automation Anywhere Cognitive repose sur les principes du moindre privilège et un modèle strict de séparation des tâches avec 41 contrôles techniques mis en œuvre dans sept familles de contrôle NIST.
Le cadre du NIST a été choisi comme fondement des meilleures pratiques pour énumérer les contrôles mis en œuvre. Les traductions du NIST vers d'autres cadres de contrôle1 sont largement disponibles, les ressources sont fournies à la fin de cette rubrique.
L'architecture de la sécurité est gérée par l'équipe de gestion des produits d'Automation Anywhere et fait partie d'un modèle de politique formel intégré à la feuille de route de développement d'Automation Anywhere. Le tableau suivant répertorie les familles de contrôle ainsi que les fonctionnalités et les impacts sur la sécurité correspondants. Les détails sur chaque famille de contrôle et la façon dont l'architecture de sécurité est implémentée dans les produits Automation Anywhere sont dans les rubriques correspondantes.
| Famille de contrôles | Code de contrôle | Fonction de Salle de contrôle | Impact sur la sécurité |
|---|---|---|---|
| Contrôles d'accès | AC-3, 6, 7, 9, 10, 12 | Contrôle central des politiques | Applique les restrictions d'accès pour le contrôle des modifications et les moindres privilèges sur les composants du système :
|
| AC-2, 3, 5, 6 | Contrôle d'accès en fonction du rôle (RBAC) | Active l’accès utilisateur, restreint les privilèges opérationnels, applique les principes du moindre privilège | |
| AC-17 | Le référentiel de la Robot. | Système de versionnement des Robots avec restrictions d'accès | |
| AC-3, 7, 9, 10, 11 | Chiffrement des Robots et Exécuteur de robotss | Chiffrement et obfuscation des informations sensibles au niveau du robot grâce à la Credential Vault et à l'intégration aux systèmes de gestion des clés | |
| Gestion de la configuration (modification) | CM-2, 5, 6, 7, 9 | Contrôle centralisé des Exécuteur de robotss | Restreint les fonctionnalités en fonction des rôles et des domaines ; implémente des exceptions de rejets et d'autorisations |
| CM-10 | Accréditation centralisée | Approvisionnement, suivi et application centralisés des licences des Créateur de robotss et des Exécuteur de robotss | |
| CM-2, 5, 6, 8 | Salle d'opération des Robots | ||
| CM-8 | Contrôle de stock | Maintient un contrôle centralisé des stocks de tous les robots et de leur exécution | |
| Gestion de la configuration du Créateur de robots | SA-10 | Gestion du Créateur de robots, arrivée et départ du robot | La Salle de contrôle applique la gestion du cycle de vie du logiciel aux robots à partir du développement, des tests et de la production. La gestion des versions Robot permet le contrôle des modifications des automatisations. |
| Audit et responsabilité | AU-1 à 15 | Piste d’audit | Journaux d’événements automatisés capturés sur trois niveaux : Salle de contrôle, Exécuteurs de robots et Créateurs de robots. La non-répudiation est assurée par des journaux en lecture seule, toutes les identités utilisateur sont liées à des actions. |
| Identification et authentification | IA-1 à 5 | Intégration au Active Directory, identifiant et attestation du Exécuteur de robots | Met en œuvre la sécurité de la plateforme Windows, y compris l’authentification cryptographique bidirectionnelle, l’identification et l’attestation du Exécuteur de robots, et les politiques de gestion des mots de passe. Le Credential Vault, intégré aux systèmes de gestion des clés, protège l'intégrité des informations d'identification. |
| Réponse aux incidents | IR-4, 6 | Réponse aux incidents | Les outils d'analyse intégrés de Bot Insight peuvent surveiller les événements et générer des alertes aux systèmes SIEM pour y répondre. |
| Maintenance contrôlée | MA-2 | Maintenance automatisée | Le système de gestion des versions de la Salle de contrôle fournit un mécanisme automatisé de mise à jour des robots. Les informations historiques sont conservées. |
(1) Ressources : ISACA fournit des guides qui mappent NIST SP800-53 à d'autres cadres de sécurité comme CoBIT (SOX), SANS Top20 (http://www.counciloncybersecurity.org/critical-controls/tools/) et ISO27002 (http://www.bankinfosecurity.in/mapping-nist-controls-to-iso-standards-a-7251).