보안 아키텍처

세계 최대의 금융 기관 중 상당수는 보안에 민감한 작업을 자동화하기 위해 Automation 360의 보안 디지털 인력 플랫폼에 의존합니다.

플랫폼의 보안 아키텍처는 NIST 800-53r4 컨트롤 제품군 7개에 구현된 41가지 기술 제어를 갖춘 엄격한 업무 분장 및 최소한의 권한 원칙을 기반으로 합니다. 제어는 세 가지 컴포넌트에 걸쳐 적용됩니다 Control Room, Bot Creator(개발 시스템), 생성에서 서비스 해제까지 Bot 수명 주기 동안의 Bot Runner(Bot 실행 시간) 이 보안 아키텍처와 기본 컨트롤은 NIST에서 정의한 업계 모범 사례로 매핑되며, CoBIT(SOX) 및 ISO 27002와 같은 다른 프레임워크에 쉽게 매핑될 수 있습니다.

액세스 제어

Automation 360은(는) 구성 요소에서 사용자와 Bot의 논리적 리소스에 대한 액세스를 제한하고 제어합니다.

  • 두 가지 독립적 제어판으로 최소 권한을 적용합니다. 개발자만 읽거나 쓸 수 있으며, 승인된 Control Room 사용자만 자동화를 실행할 수 있고, 개별 자동화(Bot), Bot Runner 및 도메인에 이르기까지 세분화된 Role-Based Access Control(RBAC)에 따라 Control Room에서 권한을 부여하고 실행합니다.
  • Bot 수준의 업무 분장이 시행됩니다. 각 Bot은 난독화되고 해당 권한이 있는 Bot Runner가 실행합니다.
  • RBAC을 통해 Bot 실행을 제어합니다. 도메인 권한은 BotBot Runner 그룹 전체에 걸쳐 정의됩니다.
  • 미사용 및 전송 중인 보안: 모든 액세스 자격증명은 타사 자격증명 저장소를 지원하는 중앙 Credential Vault를 통해 미사용 상태로 보호됩니다. 모든 통신은 SSL 및 TLS를 통해 전송 중인 상태로 보호됩니다.

구성 관리

BotBot Runner 수준에서 구성 관리를 제어합니다.

  • Control Room에서 모든 Bot CreatorBot Runner에 대한 변경 사항에 권한을 부여하고, 적용하며 로그합니다.
  • 강력한 버전 관리 시스템을 통해 롤백 및 전체 이벤트 로깅에 대한 Bot을 제어합니다.
  • 실행 시 Bot 변경 제어는 암호화와 인증을 통해 시행됩니다.

확인 및 인증

Microsoft Windows 인증 서비스를 통해 확인 및 인증을 제어합니다.

  • Bot Creator은(는) 인증에 Active Directory를 사용합니다.
  • Bot Runner에는 두 가지 인증 수준이 있습니다. 하나는 러너용, 다른 하나는 Bot 실행용 자동 로그인 인증입니다.
  • 자격증명은 Credential Vault 또는 타사 제품과의 통합을 통해 미사용 및 동작 중인 상태로 보호됩니다.

위험 평가

정적, 동적 및 네트워크 기반 취약성 평가로 위험 평가를 시행합니다. 감사와 책임은 이벤트 캡처, 로깅, Bot 수준(부인 방지)에서 세분화된 이벤트 캡처를 지원하는 세 가지 구성 요소에 대한 감사를 통해 설정됩니다. Bot Insight의 내장된 분석 기능을 통해 실시간에 가까운 사고 대응이 가능하며 보안 이벤트와 정보 관리 시스템의 통합이 이루어집니다.