Automation 360 do Cloud para acesso seguro e conectividade

Você pode desenvolver e executar bots com segurança usando a segurança de acesso da Automation 360 do Cloud.

Arquitetura de alto nível de implantação de Cloud

O diagrama de arquitetura a seguir oferece um fluxo de trabalho de alto nível da Automation 360 Cloud implantação:cloud-architecture

  1. Utilizando um navegador, faça login na Control Room e crie usuários e funções. Esse processo é realizado na Automation 360 do Cloud.
  2. Você instala Bot Agent no dispositivo Windows para executar bots localmente. Você realiza este processo na sua infra-estrutura.
  3. O fluxo de dados entre a Automation 360 do Cloud e o Bot Agent no dispositivo Windows da sua infraestrutura é criptografado usando TLS (apenas porta de saída 443).

Segurança do Gerenciamento de identidade e acesso (IAM) para o sistema do usuário

  • Quando um usuário administrador entra na Automation 360 do Control Room pela primeira vez, o administrador pode configurar o SAML 2.0 para conectar a Automation 360 da Cloud do Control Room ao seu próprio Provedor de identidade (IdP) de modo que os usuários possam fazer login na Control Room usando o MFA (autenticação multifator).
  • O administrador pode então criar os usuários e as funções ou permissões necessárias para realizar certas atividades, (tais como desenvolver e executar bots) na Control Room.
  • Os usuários da Automation 360 do Control Room podem então fazer login via MFA para criar e executar bots.
  • Adicionalmente, o administrador pode configurar um intervalo de endereços IP permitidos para gerir os logins dos usuários pelas definições do Administrador na Control Room.

Para saber mais sobre a Automation 360 do Cloud, consulte Como começar a usar a Automation 360 Cloud.

Conectividade segura para executar bots

bots são executados localmente em uma máquina Windows na qual o Bot Agent é implantado. Os usuários podem baixar e instalar o Bot Agent nos dispositivos ou implantá-los em um grupo de máquinas virtuais.

Antes de instalar o Bot Agent, devem ser cumpridos os seguintes critérios:
  • A integridade do dispositivo em que o Bot Agent está instalado não é comprometida.
  • A organização de usuários possui proteções e controles de segurança instituídos que evitariam a tomada de controle do Bot Agent e as violações dos usuários no nível do sistema.
  • O ambiente do usuário está protegido contra ataques baseados em rede, como envenenamento de cache do Sistema de Nomes de Domínio (DNS), falsificação (spoofing) do Protocolo de Resolução de Endereços (ARP) e assim por diante.
Nota: A Automation 360 do Cloud inclui controles de operação de segurança para verificar ataques man in the middle (MITM) e interceptações maliciosas.
Instalação e registro do Bot Agent
Ao registrar o dispositivo, o dispositivo Bot Agent recebe um SON Web Token (JWT) para iniciar o processo de registro com a Control Room. Se o token fornecido pelo dispositivo Bot Agent não corresponder ao token fornecido pela Control Room, o processo de registro falhará. Isso autentica o dispositivo cliente Bot Agent para a Control Room.
No modo de instalação e registro em massa do Bot Agent, o dispositivo Bot Agent vem pré-registrado on-line com o URL da Control Room no arquivo autoregistration.properties. Ao utilizar as definições de registro em massa, não se pode introduzir ou especificar um URL falso da Control Room sem privilégios de administrador nesse dispositivo. Quando o Bot Agent aparecer pela primeira vez, ele lerá o arquivo autoregistration.properties e registrará a si mesmo no URL da Control Room que é especificado no arquivo de propriedades. Por padrão, a opção de mudar o registro Bot Agent de uma Control Room para outro está desabilitada. Apenas os administradores da Control Room podem ativar esta opção. Mesmo que alguém tente registrar outro URL, quando a opção estiver desabilitada, ela falhará imediatamente com um erro mencionando que a Control Room já está registrada e a troca do URL da Control Room não é permitida.
Ao fornecer acesso de escrita a uma pasta de cache apenas para o administrador e permissões de leitura a todos os outros usuários que podem executar a bots, podemos assegurar que quando uma bot é descarregada para a cache do dispositivo, ela não pode ser manipulada para executar coisas potencialmente prejudiciais.
Comunicação entre Bot Agent e Control Room
O dispositivo Bot Agent inicia uma conexão WebSocket com a Control Room usando HTTPS (porta de saída 443) e não é necessário iniciar uma conexão de entrada.
  • Autenticação do servidor: O handshake de TLS (Transport Layer Security) garante que o nome comum (CN) no certificado do servidor emitido pela autoridade de certificação (CA) conhecida corresponda ao nome de host legítimo, conforme incluído na cadeia de certificados de confiança.
  • Autenticação do cliente: Após o registro, um JSON Web Token (JWT) válido é exigido pelo Bot Agent para estabelecer uma conexão com a Control Room. Esse token gerado pelo Bot Agent e assinado usando a chave privada do Bot Agent, usada para verificar a identidade do Bot Agent e garantir que o token seja autenticado. O token pode ser verificado usando a chave pública do Bot Agent enviada durante o processo de registro na Control Room. O mesmo processo é usado para autenticar o dispositivo do Bot Agent sempre que ele se conecta à Control Room. Após o token ser verificado, um novo JSON Web Token (JWT) é gerado pela Control Room e enviado para o Bot Agent para converter a conexão HTTP existente em uma conexão WebSocket.
A conexão de dados entre a rede de um cliente e o Cloudserviço de nuvem é protegida por uma conexão TLS forte, aproveitando certificados de servidor RSA de pelo menos 2.048 bits, chaves de criptografia simétricas de 128 bits e protocolos TLS mais fortes. Essa conexão segura torna praticamente impossível violar a conexão TLS estabelecida.
Depois que a conexão websocket é estabelecida, a comunicação entre a rede de um cliente e o serviço Cloud é segura e bidirecional. A conexão entre o dispositivo do Bot Agent e a Automation 360 hospedada na Cloud do Control Room é permanente e será automaticamente restabelecida se a conectividade for perdida. Esta conexão é utilizada para fazer o download de bots a serem executados e enviar informação do estado operacional para a Control Room.
Nota: A conectividade é estabelecida apenas uma vez e não para cada bot.
Programar bots para execução
os usuários da Control Room podem agendar a execução dos bots. Os bots compilados são baixados para serem executados nos dispositivos Bot Agent e os registros operacionais são enviados dos dispositivos do Bot Agent para a Control Room.
Para que os bots sejam executados, o Bot Agent estabelece uma sessão Windows ativa autenticando-se como o usuário licenciado do Bot Runner no dispositivo Bot Agent .
Credenciais seguras para bots
Bots que são executados nos dispositivos Bot Agent precisam tipicamente fazer login no dispositivo usando credenciais. Você pode guardar as credenciais com segurança no cofre de credenciais na Automation 360 da Cloud do Control Room. Alternativamente, as credenciais também podem ser armazenadas em um sistema de gerenciamento de chaves hospedado pelo cliente (por exemplo, CyberArk). Ao guardar as credenciais no sistema de gestão de chaves hospedadas pelo cliente, é necessário ter conectividade entre a Control Room e o sistema de gestão de chaves do cliente. Para oferecer conectividade e permitir o acesso, é necessário configurar os endereços IP da Automation 360 do Cloud para a região específica da Automation 360 do Cloud que está hospedando a Control Room no firewall. Para obter mais informações, consulte Endereços de IP Control Room para integrações externas.

Operações seguras na Automation 360 do Cloud

O Automation 360 Cloud é seguro e cumpre as normas de conformidade para: SOC 1, SOC 2, ISO 27001:2022: Sistemas de Gestão de Segurança da Informação (SGSI), ISO 27017:2015: Controles de segurança da informação para serviços do Cloud, ISO 27018:2019: Proteção de Informações Pessoais Identificáveis (PII) em ambientes Cloud e HITRUST.