보안 액세스 및 연결을 위한 Automation 360 클라우드

Bot Automation 360 액세스 보안을 사용하여 클라우드을 안전하게 개발하고 실행할 수 있습니다.

높은 수준의 클라우드 배포 아키텍처

다음 아키텍처 다이어그램은 Automation 360 클라우드 배포에 대한 높은 수준의 워크플로를 제공합니다.cloud-architecture

  1. 브라우저를 사용하여 Control Room에 로그인하고 사용자와 역할을 만듭니다. Automation 360 클라우드에서 이 프로세스를 수행합니다.
  2. Windows 기기에 Bot 에이전트를 설치하여 로컬로 Bot을 실행합니다. 인프라에서 이 프로세스를 수행합니다.
  3. 인프라 내 Windows 기기의 Automation 360 클라우드Bot 에이전트 사이의 데이터 흐름은 TLS(아웃바운드 포트 443만 해당)를 사용하여 암호화됩니다.

사용자 시스템을 위한 ID 및 액세스 관리(IAM) 보안

  • 관리자 사용자가 Automation 360 Control Room에 처음으로 로그인할 때 관리자는 SAML 2.0을 구성하여 Automation 360 클라우드 Control Room을 자체 IdP(ID 공급자)에 연결하고, 사용자는 MFA(다단계 인증)를 사용하여 Control Room에 로그인할 수 있습니다.
  • 그런 다음 관리자는 Bot에서 Control Room 개발 및 실행과 같은 특정 활동을 수행하는 데 필요한 사용자와 역할 또는 권한을 생성할 수 있습니다.
  • 그런 다음 Automation 360 Control Room 사용자는 MFA를 통해 로그인하고 Bot 생성 및 실행을 시작할 수 있습니다.
  • 또한 관리자는 Control Room의 관리자 설정을 통해 사용자 로그인을 관리하도록 허용된 IP 주소 범위를 구성할 수 있습니다.

Automation 360 클라우드에 대한 자세한 내용은 Automation 360 클라우드 시작하기 항목을 참조하십시오.

Bot을 실행하기 위한 보안 연결

BotBot 에이전트가 배포된 Windows 시스템에서 로컬로 실행합니다. 기기에 Bot 에이전트을 다운로드하여 설치하거나 가상 머신 풀에 배포할 수 있습니다.

Bot 에이전트 설치 전에 다음 기준을 충족해야 합니다.
  • Bot 에이전트가 설치된 기기의 무결성은 손상되지 않았습니다.
  • 사용자 조직은 Bot 에이전트 탈취 및 시스템 수준의 사용자 위반을 방지하는 보안 보호 장치 및 제어 장치를 갖추고 있습니다.
  • 사용자 환경은 DNS(Domain Name System) 캐시 포이즈닝, ARP(Address Resolution Protocol) 스푸핑 등과 같은 네트워크 기반 공격으로부터 안전합니다.
주: Automation 360 클라우드에는 중간자(MITM) 공격 및 악의적인 가로채기 확인하기 위한 보안 운영 제어가 포함되어 있습니다.
Bot 에이전트 설치 및 등록
기기를 등록하면 Bot 에이전트 기기에는 Control Room으로 등록 프로세스를 시작하기 위한 JWT(JSON Web Token)이 제공됩니다. Bot 에이전트 기기에서 제공하는 토큰이 Control Room에서 제공하는 토큰과 일치하지 않는 경우, 등록 프로세스가 실패합니다. 이것은 Bot 에이전트에 대해 클라이언트 Control Room 기기를 인증합니다.
대량 설치 및 Bot 에이전트의 등록 모드에서는 Bot 에이전트 기기가 Control Roomautoregistration.properties 파일에 지정된 URL을 통해 사전 등록된 온라인 상태가 됩니다. 대량 등록 설정을 사용할 때 해당 기기에 대한 관리자 권한이 없는 가짜 Control Room URL을 입력하거나 지정할 수 없습니다. Bot 에이전트가 처음으로 시작할 때 autoregistration.properties 파일을 읽고 속성 파일에 지정된 Control Room URL에 등록합니다. 기본적으로 하나의 Bot 에이전트에서 다른 Control Room으로 Control Room 등록을 전환하는 옵션은 비활성화되어 있습니다. Control Room 관리자만이 이 옵션을 활성화할 수 있습니다. 이 옵션이 비활성화되어 있을 때 누군가가 다른 URL을 등록하려고 하면 등록이 즉시 실패하고, ‘Control Room이 이미 등록되어 있고 Control Room URL 전환은 허용되지 않습니다\'라는 오류 메시지가 표시됩니다.
관리자에게만 캐시 폴더에 대한 쓰기 권한을 제공하고 Bot을 실행할 수 있는 다른 모든 사용자에게 읽기 권한을 제공함으로써, 이 기기 캐시에 다운로드되는 시기를 보장할 수 있습니다. 이는 잠재적으로 유해한 작업을 수행하도록 조작할 수 없습니다.
Bot 에이전트Control Room 사이의 통신
Bot 에이전트 기기는 HTTPS(아웃바운드 포트 443)를 사용하는 Control Room에 대해 WebSocket 연결을 설정하며, 인바운드 연결은 필요하지 않습니다.
  • 서버 인증: TLS(전송 계층 보안) 핸드셰이크는 잘 알려진 인증 기관(CA)에서 발급한 서버 인증서의 일반 이름(CN)이 인증서 신뢰 체인에 포함된 적법한 호스트 이름과 일치하는지 확인합니다.
  • 클라이언트 인증: 등록한 후에는 Bot 에이전트에 연결을 설정하기 위해 Control Room의 유효한 JWT(JSON 웹 토큰)가 필요합니다. 이 토큰은 Bot 에이전트에 의해 생성되고 Bot 에이전트 개인 키를 사용하여 서명되며, Bot 에이전트의 신원을 확인하고 토큰이 인증되었는지 확인하는 데 사용됩니다. 토큰은 등록 과정 중에 Control Room에 전송된 Bot 에이전트 공개 키를 사용하여 확인할 수 있습니다. 매번 Bot 에이전트 기기가 Control Room에 연결될 때 동일한 프로세스를 사용하여 인증합니다. 토큰이 확인된 후, 새로운 JWT(JSON 웹 토큰)가 Control Room에 의해 생성되고 Bot 에이전트로 전송되어 기존 HTTP 연결을 WebSocket 연결로 변환합니다.
고객의 네트워크와 클라우드 서비스 간의 데이터 연결은 최소 2,048비트 RSA 서버 인증서, 128비트 대칭 암호화 키 및 강력한 TLS 프로토콜을 활용하는 강력한 TLS 연결을 통해 보호됩니다. 이 보안 연결을 통해 기존 TLS 연결을 위반하는 것은 사실상 불가능합니다.
WebSocket 연결이 설정되면 고객의 네트워크와 클라우드 서비스 간의 통신이 양방향으로 보호됩니다. Bot 에이전트 기기와 Automation 360 클라우드 호스팅 Control Room 사이의 연결은 영구적이며 연결이 끊어지면 다시 자동으로 설정됩니다. 이 연결은 실행할 Bot을 다운로드하여 작동 상태 정보를 Control Room에 전송하는 데 사용됩니다.
주: 연결은 각 에 대해서가 아닌 한 번만 설정됩니다.
Bot 실행 예약
Control Room 사용자가 Bot이 실행되도록 예약합니다. 컴파일된 BotBot 에이전트 기기에서 실행되도록 다운로드되고, 작동 로그는 Bot 에이전트 기기에서 Control Room을 전송됩니다.
실행할 Bot의 경우, Bot 에이전트Bot Runner 기기에서 라이선스가 부여된 Bot 에이전트 사용자로 인증하여 활성 Windows 세션을 설정합니다.
Bot에 대한 보안 자격증명
Bot 기기에서 실행되는 Bot 에이전트은 자격증명을 사용하여 기기에 로그인해야 합니다. Automation 360 클라우드 Control Room 자격증명 저장소에 자격증명을 안전하게 저장할 수 있습니다. 또는 자격증명을 고객이 호스팅하는 키 관리 시스템(예: CyberArk)에 저장할 수 있습니다. 고객이 호스팅하는 키 관리 시스템에 자격증명을 저장할 때는 Control Room과 고객의 키 관리 시스템 사이가 연결되어 있어야 합니다. 연결을 제공하고 액세스를 허용하려면 해당 방화벽 내에서 Automation 360을 호스팅하는 특정 클라우드 Automation 360 영역에 대한 클라우드 Control Room IP 주소를 구성해야 합니다. 자세한 내용은 외부 통합을 위한 Control Room IP 주소 항목을 참조하십시오.

Automation 360 클라우드의 보안 운영

Automation 360 클라우드은 안전하며 다음에 대한 규정 준수 표준을 충족합니다. SOC 1, SOC 2, ISO 27001:2022: ISMS(정보 보안 관리 시스템), ISO 27017:2015: 클라우드 서비스에 대한 정보 보안 통제, ISO 27018:2019: 클라우드 환경 및 HITRUST의 PII(개인 식별 정보) 보호.