Automation 360 Nuvem para acesso seguro e conectividade

Você pode desenvolver e executar bots com segurança usando a segurança de acesso do Automation 360.Nuvem

Arquitetura de alto nível de implantação de Nuvem

A informação a seguir oferece um fluxo de trabalho de alto nível da implantação de Automation 360 Nuvem:

  1. Utilizando um navegador, faça login na Control Room e crie usuários e funções. Executa esse processo na Automation 360 Nuvem.
  2. Você instala Agente de bot no dispositivo Windows para executar bots localmente. Você realiza este processo na sua infra-estrutura.
  3. O fluxo de dados entre Automation 360 Nuvem e o Agente de bot no dispositivo Windows na infraestrutura do cliente é codificado usando TLS 1.2 (apenas porta de saída 443).

A imagem seguinte mostra a arquitetura de Automation 360 Nuvem:

Imagem mostrando a arquitetura pura da nuvem do Automation 360

Segurança do Gerenciamento de identidade e acesso (IAM) para o sistema do usuário

  • Quando um usuário administrador entra no Automation 360 Control Room pela primeira vez, o administrador pode configurar o SAML 2.0 para conectar o Automation 360 Nuvem Control Room ao seu próprio Provedor de Identidade (IdP) de modo que os usuários possam fazer login no Control Room usando o MFA (autenticação multifator).
  • O administrador pode então criar os usuários e as funções ou permissões necessárias para realizar certas atividades, tais como desenvolver e executar bots no Control Room.
  • Os usuários Automation 360 Control Room podem então iniciar a sessão via AMF e começar a criar e executar bots.
  • Adicionalmente, o administrador pode configurar um intervalo de endereços IP permitidos para gerir os logins dos usuários pelas definições do Administrador em Control Room.

Para saber mais sobre Automation 360 Nuvem, consulte Como começar a usar a Nuvem do Automation 360.

Conectividade segura para executar bots

bots são executados localmente em uma máquina Windows na qual o Agente de bot é implantado. Os usuários podem baixar e instalar o Agente de bot nos dispositivos ou implantá-los em um grupo de máquinas virtuais.

Antes de instalar o Agente de bot, devem ser cumpridos os seguintes critérios:
  • A integridade do dispositivo em que o Agente de bot está instalado não é comprometida.
  • A organização de usuários possui proteções e controles de segurança instituídos que evitariam a tomada de controle do Agente de bot e as violações dos usuários no nível do sistema.
  • O ambiente do usuário está protegido contra ataques baseados em rede, como envenenamento de cache do Sistema de Nomes de Domínio (DNS), falsificação (spoofing) do Protocolo de Resolução de Endereços (ARP) e assim por diante.
Nota: Automation 360 Nuvem inclui controles de operação de segurança para verificar ataques man in the middle (MITM) e interceptações maliciosas.
Instalação e registro do Agente de bot
Ao registrar o dispositivo, o dispositivo Agente de bot recebe um SON Web Token (JWT) para iniciar o processo de registro com o Control Room. Se o token fornecido pelo dispositivo Agente de bot não corresponder ao token fornecido pela Control Room, o processo de registro falhará. Isso autentica o dispositivo cliente Agente de bot para a Control Room.
No modo de instalação e registro em massa do Agente de bot, o dispositivo Agente de bot vem pré-registrado on-line com o URL da Control Room no arquivo autoregistration.properties. Ao utilizar as definições de registro em massa, não se pode introduzir ou especificar um URL falso Control Room sem privilégios de administrador nesse dispositivo. Quando o Agente de bot aparecer pela primeira vez, ele lerá o arquivo autoregistration.properties e registrará a si mesmo no URL Control Room que é especificado no arquivo de propriedades. Por padrão, a opção de mudar o registro Agente de bot de um Control Room para outro está desativada. Apenas os administradores Control Room podem ativar esta opção. Mesmo que alguém tente registrar outro URL, quando a opção estiver desativada, ela falhará imediatamente com um erro mencionando que a Control Room já está registrada e a troca do URL da Control Room não é permitida.
Ao fornecer acesso de escrita a uma pasta de cache apenas para o administrador e permissões de leitura a todos os outros usuários que podem executar a bots, podemos assegurar que quando uma bot é descarregada para a cache do dispositivo, ela não pode ser manipulada para executar coisas potencialmente prejudiciais.
Comunicação entre Agente de bot e Control Room
O dispositivo Agente de bot inicia uma conexão WebSocket com a Control Room usando HTTPS (porta de saída 443) e não é necessário iniciar uma conexão de entrada.
  • Autenticação do servidor: O handshake de TLS (Transport Layer Security) garante que o nome comum (CN) no certificado do servidor emitido pela autoridade de certificação (CA) conhecida corresponda ao nome de host legítimo, conforme incluído na cadeia de certificados de confiança.
  • Autenticação do cliente: Uma chave de token válida é sempre necessária Agente de bot para estabelecer uma conexão com a Control Room. O token é criptografado usando a chave privada do Agente de bot e só pode ser descriptografado usando a chave pública do Agente de bot que foi usada no momento do registro do dispositivo Agente de bot no Control Room. O token também autentica o dispositivo Agente de bot sempre que o Agente de bot se conecta com o Control Room.
A conexão de dados entre a rede de um cliente e o Nuvemserviço de nuvem é protegida por uma conexão TLS forte, aproveitando certificados de servidor RSA de pelo menos 2.048 bits, chaves de criptografia simétricas de 128 bits e protocolos TLS mais fortes. Essa conexão segura torna praticamente impossível violar a conexão TLS estabelecida.
Depois que a conexão websocket é estabelecida, a comunicação entre a rede de um cliente e o serviço Nuvem é segura e bidirecional. A conexão entre o dispositivo Agente de bot e o Automation 360 Nuvem hospedado Control Room é permanente e será automaticamente restabelecida se a conectividade for perdida. Esta conexão é utilizada para fazer o download de bots a serem executados e enviar informação do estado operacional para a Control Room.
Nota: A conectividade é estabelecida apenas uma vez e não para cada bot.
Programar bots para execução
os usuários da Control Room podem agendar a execução dos bots. Os bots compilados são baixados para serem executados nos dispositivos Agente de bot e os registros operacionais são enviados dos dispositivos do Agente de bot para a Control Room.
Para que os bots sejam executados, o Agente de bot estabelece uma sessão Windows ativa autenticando-se como o usuário licenciado do Bot Runner no dispositivo Agente de bot .
Credenciais seguras para bots
Bots que são executados nos dispositivos Agente de bot precisam tipicamente fazer login no dispositivo usando credenciais. Você pode guardar as credenciais em segurança no cofre de credenciais Automation 360 Nuvem Control Room. Alternativamente, as credenciais também podem ser armazenadas em um sistema de gerenciamento de chaves hospedado pelo cliente (por exemplo, CyberArk). Ao guardar as credenciais no sistema de gestão de chaves hospedadas pelo cliente, é necessário ter conectividade entre a Control Room e o sistema de gestão de chaves do cliente. Para oferecer conectividade e permitir o acesso, é necessário configurar os endereços IP Automation 360 Nuvem para a região específica Automation 360 Nuvem que está a acolhendo o Control Room na sua firewall. Para obter mais informações, consulte Endereços de IP Control Room para integrações externas.

Operações seguras em Automation 360 Nuvem

Automation 360 Nuvem é executado com segurança e cumpre as normas de conformidade: SOC 1, SOC 2, ISO 27001 e HITRUST.