Arquitetura de segurança

Muitas das maiores empresas financeiras do mundo dependem da plataforma de força de trabalho digital segura de Automation 360s para automatizar operações confidenciais de segurança.

A arquitetura de segurança da plataforma é fundada em princípios de Menos privilégios e um rigoroso modelo de Separação de tarefas com 41 controles técnicos implementados em sete famílias de controle NIST 800-53r4. Os controles são aplicados em três componentes: Control Room, Bot Creators (sistemas de desenvolvimento) e Executores de botss (tempos de execução de bot) por meio do ciclo de vida do bot, da criação até o descomissionamento. Essa arquitetura de segurança e os controles subjacentes são mapeados para as melhores práticas do setor, conforme definido pelo NIST, e podem ser prontamente mapeados para outras estruturas, como CoBIT (SOX) e ISO 27002.

Controles de acesso

Automation 360O Enterprise (AAE) limita e controla acessos de humanos (pessoas) e de bots a recursos lógicos entre os componentes.

  • Dois planos de controle independentes aplicam menos privilégio. Apenas os desenvolvedores podem ler ou gravar, apenas os usuários autorizados do Control Room podem executar as automatizações (Control Room autoriza e executa), sujeitos a Role Based Access Controls (RBAC) refinados para as automatizações individuais de bot, Executores de bots e domínios.
  • A separação em nível de tarefas de s é aplicada. Cada bot é ofuscado e executado por seus Executores de botss autorizados correspondentes.
  • A execução de Bots é controlada via RBAC. Os privilégios de domínio são definidos entre grupos de bot e Executores de bots.
  • Segurança em repouso e em trânsito: Todas as credenciais de acesso são garantidas através de uma central Credential Vault com suporte para lojas credenciadas por terceiros. Todas as comunicações são protegidas em trânsito via SSL e TLS.

Gestão de configuração

A gestão de configuração é controlada em níveis de bots e de Bot Runner.

  • A Control Room autoriza, aplica e registra alterações a todos Bot Creators e Executores de bots.
  • Bots são controlados por meio de um robusto sistema de versionamento, para registro de eventos completos.
  • O controle de alteração de Bot na execução é aplicado através de criptografia e autenticação.

Identificação e autenticação

Identificação e autenticação são controladas através dos serviços de autenticação do Windows.

  • Bot Creators usar o Active Directory para autenticação
  • Executores de bots têm dois níveis de autenticação, um para autenticação com login automático do corredor e outro para execução de botss.
  • Os dados de acesso são protegidos em repouso e em movimento através do Credential Vault ou integração com produtos de terceiros.

Avaliação de risco

A Avaliação de Risco é realizada em Avaliações de Vulnerabilidade Estáticas, Dinâmicas e Baseadas em Rede. Auditoria e responsabilidade são estabelecidas através da captura, registro e auditoria de eventos em todos os três componentes com captura granular de eventos no nível do bot e não repúdio. A análise integrada do Bot InsightBot Insight oferece resposta de incidentes quase em tempo real e integração com o Evento de segurança e Sistemas de gestão das informações.