Modello di architettura di sicurezza
L'architettura di sicurezza di Automation Anywhere Cognitive è fondata sui principi dei privilegi minimi e un rigoroso modello di separazione delle funzioni con 41 controlli tecnici implementati su sette famiglie di controllo dello standard del NIST.
L'infrastruttura di NIST è stata selezionata come base per le migliori pratiche come modo per enumerare i controlli implementati. Sono ampiamente disponibili traduzioni da NIST in altre infrastrutture; alla fine di questo argomento sono disponibili alcune utili risorse.
L'architettura di sicurezza del prodotto viene eseguita dal team di gestione dei prodotti di Automation Anywhere e rientra in un modello di criteri formale come parte integrante della roadmap di sviluppo di Automation Anywhere. La tabella che segue elenca le famiglie di controllo, le caratteristiche corrispondenti e l'impatto sulla sicurezza. Dettagli su ogni famiglia di controllo e su come viene implementata l'architettura di sicurezza nei prodotti Automation Anywhere sono consultabili nei rispettivi argomenti.
| Famiglia di controllo | Codice di controllo | Funzionalità di Control Room | Impatto sulla sicurezza |
|---|---|---|---|
| Controlli degli accessi | AC-3, 6, 7, 9, 10, 12 | Controllo centrale dei criteri | Consente di applicare restrizioni di accesso per il controllo delle modifiche e privilegi minimi sui componenti di sistema:
|
| AC-2, 3, 5, 6 | Controllo degli accessi basato su ruolo (RBAC) | Consente di concedere l'accesso degli utenti, di limitare i privilegi operativi e di applicare principi dei privilegi minimi | |
| AC-17 | Archivio di Bot | Sistema di controllo delle versioni dei Bot con restrizioni di accesso | |
| AC-3, 7, 9, 10, 11 | Crittografi di Bot e di Bot Runner | Crittografia e offuscamento di informazioni sensibili a livello di bot attraverso l'archivio credenziali e l'integrazione con i sistemi di gestione delle chiavi | |
| Gestione della configurazione (modifica) | CM-2, 5, 6, 7, 9 | Controllo del Bot Runner centralizzato | Consente di limitare le funzionalità in base a ruoli e domini, di implementare i criteri deny-all e le eccezioni allow-by a livello centrale |
| CM-10 | Gestione centralizzata delle licenze | Provisioning, tracciamento e applicazioni centralizzati delle licenze di Bot Creator e di Bot Runner. | |
| CM-2, 5, 6, 8 | Camera di controllo operativo dei Bot | ||
| CM-8 | Controllo della disponibilità | Mantiene il controllo centralizzato della disponibilità di tutti i bots e le fasi di esecuzione. | |
| Gestione della configurazione di Bot Creator | SA-10 | Gestione di Bot Creator, archiviazione ed estrazione dei bot | Control Room applica la gestione del ciclo di vita del software ai bots da sviluppo, test e produzione. La funzione di controllo delle versioni di Bot consente il controllo delle modifiche delle automazioni. |
| Audit e responsabilità | AU-1 fino a 15 | Audit trail | Log di eventi automatizzati acquisiti su tre livelli: Control Room, Bot Runners e Bot Creators. Il non ripudio è garantito tramite log di sola lettura, tutte le identità utente sono associate alle operazioni. |
| Identificazione e autenticazione | IA-1 fino a 5 | Integrazione Active Directory, ID e attestazione di Bot Runner | Implementa la sicurezza della piattaforma Windows, compresa l'autenticazione crittografica bidirezionale, l'identificazione e l'attestazione di Bot Runner e i criteri di gestione delle password. L'archivio credenziali con integrazione con i sistemi di gestione delle chiavi protegge l'integrità delle credenziali. |
| Risposta agli incidenti | IR-4, 6 | Risposta agli incidenti | Le funzionalità di analisi incorporata di Bot Insight sono in grado di monitorare gli eventi e di generare avvisi per i sistemi SIEM per la risposta. |
| Manutenzione controllata | MA-2 | Manutenzione automatizzata | Il sistema di controllo delle versioni di Control Room fornisce un meccanismo automatizzato per distribuire gli aggiornamenti a bots, mantenendo le informazioni cronologiche. |
(1) Risorse: ISACA fornisce guide che mappano NIST SP800-53 ad altri quadri di riferimento per la sicurezza come CoBIT (SOX), SANS Top20 (http://www.counciloncybersecurity.org/critical-controls/tools/) e ISO27002 (http://www.bankinfosecurity.in/mapping-nist-controls-to-iso-standards-a-7251).