安全なアクセスと接続を実現する Automation 360 Cloud

bots Automation 360 アクセス セキュリティを利用して、Cloud を安全に開発および運用することができます。

Cloud デプロイの概略レベルのアーキテクチャ

次のアーキテクチャ図は、Automation 360 Cloud デプロイの概略レベルのワークフローを提供します:cloud-architecture

  1. ブラウザを使用して、Control Room にログインし、ユーザーとロールを作成します。 このプロセスは、Automation 360 Cloudで実行します。
  2. Bot Agentを Windows デバイスにインストールし、bots をローカルで実行します。 このプロセスは、お使いのインフラストラクチャで実行します。
  3. Automation 360 Cloudとお使いのインフラストラクチャ上にある Windows デバイス上の Bot Agent間のデータ フローは、TLS (アウトバウンド ポート 443 のみ) を使用して暗号化されています。

ユーザー システムの ID とアクセス管理 (IAM) セキュリティ

  • 管理者ユーザーが初めて Automation 360 Control Room にログインするとき、管理者は SAML 2.0 を構成して、Automation 360 Cloud Control Room を独自の ID プロバイダー (IdP) に接続し、そのユーザーが MFA (多要素認証) を使用して Control Room にログインできるようにすることできます。
  • これにより、管理者は bots の開発や実行など、特定のアクティビティを行うために必要なユーザーとロールまたは権限を Control Room で作成することができます。
  • Automation 360 Control Roomのユーザーは MFA を通じてログインし、bots の作成と実行を開始することができます。
  • さらに、管理者は許可する IP アドレス範囲を構成し、Control Room の管理者設定を通じてユーザーのログインを管理できます。

Automation 360 Cloudの詳細については、「Automation 360 Cloud の使用を開始」を参照してください。

bots を実行するための安全な接続

ユーザーは、botsがデプロイされている、ローカルの Windows マシン上で Bot Agent を実行します。 ユーザーは、Bot Agentをデバイスにダウンロードしてインストールするか、仮想マシンのプールにデプロイすることができます。

Bot Agentをインストールする前に、次の条件が満されている必要があります。
  • Bot Agentがインストールされるデバイスの完全性が損なわれていないこと。
  • ユーザー組織は、Bot Agentの乗っ取りやシステムレベルのユーザー侵害を防止するセキュリティ保護と管理を導入していること。
  • ユーザー環境に、ドメイン ネーム システム (DNS) キャッシュ ポイズニングやアドレス解決プロトコル (ARP) スプーフィングなど、ネットワーク ベースの攻撃を受けるおそれがないこと。
注: Automation 360 Cloudには、中間者 (MITM) 攻撃や悪意のある窃取を確認するためのセキュリティ運用管理も含まれています。
Bot Agent のインストールと登録
デバイスを登録するときは、Bot Agent デバイスに JSON Web トークン (JWT) が提供され、Control Room への登録プロセスが開始されます。 Bot Agentデバイスから提供されたトークンと Control Room から提供されたトークンが一致しない場合、登録処理は失敗します。 これにより、クライアント Bot Agent デバイスが Control Room に認証されます。
Bot Agentの一括インストールおよび登録モードでは、Bot Agentデバイスは、Control Roomautoregistration.propertiesファイルで指定された URL に事前に登録されていればオンラインになります。 一括登録設定を使用する場合、そのデバイスの管理者権限がないと、偽の Control Room URL を入力することも指定することもできません。 Bot Agentは、初めて起動されると、autoregistration.properties ファイルを読み込み、プロパティ ファイルで指定された Control Room URL にそれ自体を登録します。 デフォルトでは、Bot Agent登録をある Control Room から別のものに切り替えるオプションは無効になっています。 このオプションは、Control Room 管理者のみが有効にすることができます。 このオプションが無効になっている場合、誰かが別の URL を登録しようとしても、登録が直ちに失敗し、「Control Room はすでに登録されており、Control Room URL を切り替えることはできない」というエラーが表示されます。
管理者にのみキャッシュ フォルダーへの書き込み権限を付与し、bots を実行できる他のすべてのユーザーに読み取り権限を付与することで、bot がデバイスのキャッシュにダウンロードされたときに、悪影響を及ぼす可能性がある操作を実行できないようにすることができます。
Bot AgentControl Room の間の通信
Bot Agent デバイスは HTTPS (アウトバウンド ポート 443) を使用して Control Room への WebSocket 接続を確立します。インバウンド接続は必要ありません。
  • サーバー認証: トランスポート レイヤー セキュリティ (TLS) ハンドシェイクにより、周知の認証局 (CA) から発行されたサーバー証明書のコモンネーム (CN) が、信頼できる証明書チェーンに含まれる正当なホスト名と一致することが保証されます。
  • クライアント認証: 登録後、Control Room への接続を確立するために、Bot Agentから有効なJSON Webトークン(JWT)が要求されます。 このトークンはBot Agentによって生成され、Bot Agentの秘密鍵を使用して署名されており、Bot Agentの身元を確認し、トークンが認証されていることを保証するために使用されます。 トークンは、登録プロセス中に Control Room に送信された Bot Agent 公開鍵を使用して検証できます。 Bot AgentデバイスがControl Roomに接続するたびに、同じプロセスが使用されて認証されます。 トークンが確認されると、新しいJSON Web Token (JWT) が Control Room によって生成され、既存のHTTP接続をWebSocket接続に変換するために Bot Agent に送信されます。
お客様のネットワークとCloud サービスの間のデータ接続は、少なくとも 2,048 ビットの RSA サーバー証明書、128 ビットの対称暗号化キー、およびより堅牢な TLS プロトコルを活用した強力な TLS 接続で保護されます。 この安全な接続により、確立された TLS 接続を侵害することは事実上不可能です。
WebSocket 接続が確立されると、お客様のネットワークとCloud サービスの間の通信は、安全な双方向通信が可能になります。 Bot Agent デバイスと Automation 360 Cloud ホスト Control Room の間の接続は永続的であり、接続が切れた場合は自動的に再確立されます。 この接続は、bots をダウンロードして実行し、動作ステータス情報を Control Room に送信するために使用されます。
注: 接続は、bot ごとではなく 1 回だけ確立されます。
bots の実行をスケジュール
Control Room ユーザーは bots の実行をスケジュール設定できます。 コンパイルされた bots はダウンロードされて Bot Agent デバイスで実行され、操作ログは Bot Agent デバイスから Control Room に送信されます。
bots の実行に備えて、Bot AgentBot Runner デバイス上で認可された Bot Agent ユーザーとして認証することにより、アクティブな Windows セッションを確立します。
bots の安全な資格情報
Bots デバイス上で実行される Bot Agent は、資格情報を使用してデバイスにログインする必要があります。 資格情報は Automation 360 Cloud Control Room 資格情報 Vault に安全に保管できます。 また、資格情報はお客様がホストするキー管理システム (CyberArk など) に保管することもできます。 お客様がホストするキー管理システムに資格情報を保存する場合は、Control Room とお客様のキー管理システムの間の接続が必要です。 接続を提供し、アクセスを許可するには、ファイアウォールで Automation 360 をホストしている特定の Cloud Automation 360 リージョンの Cloud Control Room IP アドレスを構成する必要があります。 詳細については、「外部統合の Control Room IP アドレス」を参照してください。

Automation 360 Cloudでの安全な操作

Automation 360 Cloudは安全であり、次のコンプライアンス基準を満たしています: SOC 1、SOC 2、ISO 27001:2022: 情報セキュリティ管理システム (ISMS)、ISO 27017:2015: Cloudサービスの情報セキュリティコントロール、ISO 27018:2019: Cloud 環境および HITRUST で個人を特定できる情報 (PII) の保護。