Automation 360 do Nuvem para acesso seguro e conectividade

Você pode desenvolver e executar bots com segurança usando a segurança de acesso da Automation 360 do Nuvem.

Arquitetura de alto nível de implantação de Nuvem

O diagrama de arquitetura a seguir oferece um fluxo de trabalho de alto nível da Automation 360 Nuvem implantação:cloud-architecture

  1. Utilizando um navegador, faça login na Control Room e crie usuários e funções. Esse processo é realizado na Automation 360 do Nuvem.
  2. Você instala Agente de bot no dispositivo Windows para executar bots localmente. Você realiza este processo na sua infra-estrutura.
  3. O fluxo de dados entre a Automation 360 do Nuvem e o Agente de bot no dispositivo Windows da sua infraestrutura é criptografado usando TLS (apenas porta de saída 443).

Segurança do Gerenciamento de identidade e acesso (IAM) para o sistema do usuário

  • Quando um usuário administrador entra na Automation 360 do Control Room pela primeira vez, o administrador pode configurar o SAML 2.0 para conectar a Automation 360 da Nuvem do Control Room ao seu próprio Provedor de identidade (IdP) de modo que os usuários possam fazer login na Control Room usando o MFA (autenticação multifator).
  • O administrador pode então criar os usuários e as funções ou permissões necessárias para realizar certas atividades, (tais como desenvolver e executar bots) na Control Room.
  • Os usuários da Automation 360 do Control Room podem então fazer login via MFA para criar e executar bots.
  • Adicionalmente, o administrador pode configurar um intervalo de endereços IP permitidos para gerir os logins dos usuários pelas definições do Administrador na Control Room.

Para saber mais sobre a Automation 360 do Nuvem, consulte Como começar a usar a Nuvem do Automation 360.

Conectividade segura para executar bots

bots são executados localmente em uma máquina Windows na qual o Agente de bot é implantado. Os usuários podem baixar e instalar o Agente de bot nos dispositivos ou implantá-los em um grupo de máquinas virtuais.

Antes de instalar o Agente de bot, devem ser cumpridos os seguintes critérios:
  • A integridade do dispositivo em que o Agente de bot está instalado não é comprometida.
  • A organização de usuários possui proteções e controles de segurança instituídos que evitariam a tomada de controle do Agente de bot e as violações dos usuários no nível do sistema.
  • O ambiente do usuário está protegido contra ataques baseados em rede, como envenenamento de cache do Sistema de Nomes de Domínio (DNS), falsificação (spoofing) do Protocolo de Resolução de Endereços (ARP) e assim por diante.
Nota: A Automation 360 do Nuvem inclui controles de operação de segurança para verificar ataques man in the middle (MITM) e interceptações maliciosas.
Instalação e registro do Agente de bot
Ao registrar o dispositivo, o dispositivo Agente de bot recebe um SON Web Token (JWT) para iniciar o processo de registro com a Control Room. Se o token fornecido pelo dispositivo Agente de bot não corresponder ao token fornecido pela Control Room, o processo de registro falhará. Isso autentica o dispositivo cliente Agente de bot para a Control Room.
No modo de instalação e registro em massa do Agente de bot, o dispositivo Agente de bot vem pré-registrado on-line com o URL da Control Room no arquivo autoregistration.properties. Ao utilizar as definições de registro em massa, não se pode introduzir ou especificar um URL falso da Control Room sem privilégios de administrador nesse dispositivo. Quando o Agente de bot aparecer pela primeira vez, ele lerá o arquivo autoregistration.properties e registrará a si mesmo no URL da Control Room que é especificado no arquivo de propriedades. Por padrão, a opção de mudar o registro Agente de bot de uma Control Room para outro está desativada. Apenas os administradores da Control Room podem ativar esta opção. Mesmo que alguém tente registrar outro URL, quando a opção estiver desativada, ela falhará imediatamente com um erro mencionando que a Control Room já está registrada e a troca do URL da Control Room não é permitida.
Ao fornecer acesso de escrita a uma pasta de cache apenas para o administrador e permissões de leitura a todos os outros usuários que podem executar a bots, podemos assegurar que quando uma bot é descarregada para a cache do dispositivo, ela não pode ser manipulada para executar coisas potencialmente prejudiciais.
Comunicação entre Agente de bot e Control Room
O dispositivo Agente de bot inicia uma conexão WebSocket com a Control Room usando HTTPS (porta de saída 443) e não é necessário iniciar uma conexão de entrada.
  • Autenticação do servidor: O handshake de TLS (Transport Layer Security) garante que o nome comum (CN) no certificado do servidor emitido pela autoridade de certificação (CA) conhecida corresponda ao nome de host legítimo, conforme incluído na cadeia de certificados de confiança.
  • Autenticação do cliente: Após o registro, um JSON Web Token (JWT) válido é exigido pelo Agente de bot para estabelecer uma conexão com a Control Room. Esse token gerado pelo Agente de bot e assinado usando a chave privada do Agente de bot, usada para verificar a identidade do Agente de bot e garantir que o token seja autenticado. O token pode ser verificado usando a chave pública do Agente de bot enviada durante o processo de registro na Control Room. O mesmo processo é usado para autenticar o dispositivo do Agente de bot sempre que ele se conecta à Control Room. Após o token ser verificado, um novo JSON Web Token (JWT) é gerado pela Control Room e enviado para o Agente de bot para converter a conexão HTTP existente em uma conexão WebSocket.
A conexão de dados entre a rede de um cliente e o Nuvemserviço de nuvem é protegida por uma conexão TLS forte, aproveitando certificados de servidor RSA de pelo menos 2.048 bits, chaves de criptografia simétricas de 128 bits e protocolos TLS mais fortes. Essa conexão segura torna praticamente impossível violar a conexão TLS estabelecida.
Depois que a conexão websocket é estabelecida, a comunicação entre a rede de um cliente e o serviço Nuvem é segura e bidirecional. A conexão entre o dispositivo do Agente de bot e a Automation 360 hospedada na Nuvem do Control Room é permanente e será automaticamente restabelecida se a conectividade for perdida. Esta conexão é utilizada para fazer o download de bots a serem executados e enviar informação do estado operacional para a Control Room.
Nota: A conectividade é estabelecida apenas uma vez e não para cada bot.
Programar bots para execução
os usuários da Control Room podem agendar a execução dos bots. Os bots compilados são baixados para serem executados nos dispositivos Agente de bot e os registros operacionais são enviados dos dispositivos do Agente de bot para a Control Room.
Para que os bots sejam executados, o Agente de bot estabelece uma sessão Windows ativa autenticando-se como o usuário licenciado do Executor de bots no dispositivo Agente de bot .
Credenciais seguras para bots
Bots que são executados nos dispositivos Agente de bot precisam tipicamente fazer login no dispositivo usando credenciais. Você pode guardar as credenciais com segurança no cofre de credenciais na Automation 360 da Nuvem do Control Room. Alternativamente, as credenciais também podem ser armazenadas em um sistema de gerenciamento de chaves hospedado pelo cliente (por exemplo, CyberArk). Ao guardar as credenciais no sistema de gestão de chaves hospedadas pelo cliente, é necessário ter conectividade entre a Control Room e o sistema de gestão de chaves do cliente. Para oferecer conectividade e permitir o acesso, é necessário configurar os endereços IP da Automation 360 do Nuvem para a região específica da Automation 360 do Nuvem que está hospedando a Control Room no firewall. Para obter mais informações, consulte Endereços de IP Control Room para integrações externas.

Operações seguras na Automation 360 do Nuvem

O Automation 360 Nuvem é seguro e cumpre as normas de conformidade para: SOC 1, SOC 2, ISO 27001:2022: Sistemas de Gestão de Segurança da Informação (SGSI), ISO 27017:2015: Controles de Segurança da Informação para Serviços Nuvem), ISO 27018:2019: Proteção de Informações Pessoais Identificáveis (PII) em ambientes Nuvem e HITRUST.