安全性与治理是 Automation Anywhere 中坐席互操作性的基石。 我们的模型上下文协议 (MCP) 实施采用安全即设计理念,确保在坐席到坐席及坐席到自动化的交互过程中,敏感数据、自动化及企业资产均受到全面保护。

我们的安全框架实施了严格的信任边界、强身份验证、授权、加密以及全面的可审计性,符合企业和行业安全标准。

零信任安全模型

Automation Anywhere 模型上下文协议 (MCP) 实施遵循零信任架构,在该架构下,任何用户、坐席、工具或连接都不会被隐式信任。
  • 每一次交互、工具发现、调用或自动化执行都必须经过明确的身份验证和授权
  • 绝不能仅凭网络位置、坐席身份或先前的请求来假定信任。
  • 每次请求均独立评估并强制执行安全检查,确保不会发生未经授权的访问或横向移动。
  • 所有进入 MCP 和 Control Room 边界的入站流量都会在多个层面进行验证,包括身份验证令牌的验证和许可证的核查,只有通过这些验证后,才允许进行任何处理。
这种方法显著降低了凭据被滥用、坐席遭受攻击或工具被未经授权执行的风险。

安全的身份验证与身份校验

所有与 Automation Anywhere MCP 服务器交互的用户和系统在进行任何操作前都必须通过身份验证。
  • 基于 API 密钥的身份验证用于识别和验证 MCP 客户端。
  • 每个入站请求都会验证:
    • API 密钥
    • 关联的用户身份
    • 活动安全上下文
  • 身份验证通过 Automation Anywhere Control Room 身份验证系统进行,确保实现集中化的身份执行。
  • 身份验证按请求应用,而不是按会话应用,从而消除了对长期隐式信任的依赖。
  • 身份验证令牌仅通过 HTTPS 连接进行验证,确保在身份验证过程中传输的安全性。
  • 在身份验证过程中会强制进行许可证验证,以确认租户的权限,之后才会允许访问 MCP 工具或执行自动化。
这可确保只有经过验证的身份才能启动 MCP 工具调用或自动化执行。

用户安全上下文和会话隔离

Automation Anywhere MCP 实施强制执行严格的用户安全上下文传播与会话隔离
  • 每次 MCP 调用都会在经过身份验证用户的安全上下文内执行。
  • Automation Anywhere MCP 服务器不会以提升或共享权限执行操作。
  • 由第三方 AI 助手触发的自动化以请求用户的身份运行,并且继承:
    • 该用户的权限
    • 该用户的访问限制
  • 会话在逻辑上实现隔离,从而确保:
    • 不存在跨用户数据泄露
    • 不同 MCP 客户端或用户之间没有共享的执行上下文
此设计防止权限提升,并确保始终以最小权限执行。

基于角色的访问控制 (RBAC)

Automation Anywhere 平台的 MCP 生命周期中,RBAC 在多个层级得到严格实施:
  1. MCP 工具的创建与管理
    • MCP 入站工具的创建、配置和管理(在 AI -> 坐席连接页面)受 RBAC 管理。
    • 只有被明确分配角色的用户才能:
      • 创建 MCP 入站工具
      • 修改工具定义
      • 管理工具对 AI 助手的可见性
  2. 工具发现与调用
    • 每一次的工具发现与调用请求都会根据用户分配的角色进行验证。
    • 未经授权的用户无法发现或调用工具,即使他们知道工具标识符。
  3. 使用 AI 助手的自动化执行
    • 通过以下方式运行自动化时:
    • 用户只能访问并执行其在 Control Room 存储库中被授权的自动化。
    • 运行时,将严格执行在 Control Room 中定义的 RBAC 策略。
这可确保在人类用户、AI 助手和自动化坐席之间实现一致的授权。

区域 MCP 服务层——运行时安全与基础设施防护

MCP 区域服务层作为外部 AI 助手与 Automation Anywhere Control Room 之间的强大执行边界。 它使用遵循云原生安全最佳实践的基础设施、运行时和 API 保护控制措施。

  • 在身份验证令牌被容器边界接受之前,需通过 HTTPS 对令牌进行验证。
  • 在处理任何工具调用请求之前,会进行许可证授权检查。
  • 将强制执行每用户速率限制和每租户速率限制,以防止滥用、拒绝服务风险和过度消耗。
  • 速率限制在所有 MCP 入站工具调用中统一适用,以确保公平并保护共享基础设施。

这些控制措施确保了系统的弹性、公平使用,并防止自动化滥用或恶意洪泛攻击。

安全通信与数据保护

Automation Anywhere MCP 生态系统内的所有通信信道均已加密并得到安全保护。
  • TLS 1.2 加密用于:
    • MCP 客户端 ↔ Automation Anywhere MCP 服务器通信
    • Automation Anywhere MCP 服务器 ↔ Automation Anywhere Control Room 通信
  • 加密可确保:
    • 数据保密性
    • 数据完整性
    • 防止中间人 (MITM) 攻击
  • 敏感有效负载、凭据和执行元数据绝不会以明文形式传输。
  • 所有身份验证令牌的验证均严格通过 HTTPS 安全通道进行。
这符合企业对数据传输中保护的安全性和合规性要求。

Control Room 级别的公共入口安全

Control Room 实施严格的公共入口管控,以保护面向外部的终端节点。

  • 网页应用防火墙 (WAF) 部署在公共 Control Room 入口层,用于检测并过滤传入的流量。
  • WAF 提供针对常见网页威胁的防护,包括注入攻击、恶意有效负载以及异常请求模式。
  • 所有应用程序 Pod 都在与公共互联网隔离的私有子网内运行。
  • 只有入口层对外开放,后端服务不会直接暴露给外部。

该网络分段与入口防护策略建立了坚实的外部信任边界,并最大限度地减少了攻击面。

审计、日志记录与治理

Automation Anywhere MCP 实施为治理、合规与取证分析提供了全面的日志记录功能。
  • 所有 MCP 入站工具调用都会被记录,包括:
    • 用户身份
    • 已调用的工具
    • 时间戳
    • 执行结果
  • 日志启用:
    • AI 发起操作的端到端可追溯性
    • 符合法规和审计要求
    • 监控与异常检测
  • 日志记录支持以下治理场景,例如:
    • 安全审查
    • 事件调查
    • 使用分析与策略执行

在 Automation Anywhere MCP 实施过程中,集成了符合行业标准的安全控制措施

安全方面 MCP 实施
零信任 每次请求均需进行明确的身份验证与授权
身份验证 基于 API 密钥的验证 + HTTPS 令牌验证 + 许可证验证
会话隔离 按用户执行的上下文,无共享会话
Authorization 多层 RBAC 强制执行
最小权限 自动化仅在用户授予权限的情况下运行
速率限制 实施每用户速率限制和每租户速率限制,以防止拒绝服务风险
加密 所有通信均使用 TLS 1.2
网络分段 入口处的 WAF + 位于私有子网的 Pod
可审计性 MCP 入站工具调用的完整日志记录
这种分层的纵深防御安全模型确保使用 MCP 的 Automation Anywhere 坐席互操作性实现安全可靠、可控且具备企业级就绪性,同时支持 AI 助手、坐席与自动化资产之间的可控协作。