Automation 360 Cloud 提供安全访问与连接

您可以使用 Automation 360 Cloud 访问安全机制,安全地开发和运行 bots

Cloud 部署的高层架构

以下架构图展示了 Automation 360 Cloud 部署的高层工作流:云架构

  1. 使用浏览器,您可以登录到 Control Room 并创建用户和角色。 您在 Automation 360 Cloud 上执行此流程。
  2. 您在 Windows 设备上安装 Bot Agent 以本地运行 bots。 您可以在基础架构上执行此流程。
  3. 在基础架构上的 Windows 设备中,Automation 360 CloudBot Agent 之间的数据流使用 TLS 加密(仅限出站端口 443)。

用户系统的身份和访问管理 (IAM) 安全性

  • 当管理员用户首次登录 Automation 360 Control Room 时,管理员可以配置 SAML 2.0,将 Automation 360 Cloud Control Room 连接到其自己的身份提供商 (IdP),从而允许用户使用 MFA(多因素认证)登录 Control Room
  • 管理员随后可以创建所需的用户和角色或权限,以便在 Control Room 中执行某些活动(例如开发和运行 bots)。
  • 然后,Automation 360 Control Room 用户可以通过多因素认证登录,并开始创建和运行 bots
  • 此外,管理员可以通过 Control Room 中的管理员设置配置允许的 IP 地址范围来管理用户登录。

要了解有关 Automation 360 Cloud 的更多信息,请参阅 开始使用 Automation 360 Cloud

运行 bots 的安全连接

您在部署了 Bot Agent 的 Windows 机器上本地运行 bots。 您可以在设备上下载并安装 Bot Agent,或将其部署到虚拟机池中。

在安装 Bot Agent 之前,必须满足以下条件:
  • 设备上安装的 Bot Agent 的完整性未受到损害。
  • 用户组织已制定安全保障措施和控制措施,以防止 Bot Agent 接管和系统级用户漏洞。
  • 用户环境免受网络攻击的威胁,例如域名系统 (DNS) 缓存中毒、地址解析协议 (ARP) 欺骗等。
注: Automation 360 Cloud 包括安全操作控制,用于检测中间人 (MITM) 攻击和恶意拦截。
Bot Agent 安装和注册
当您注册设备时,将为 Bot Agent 设备会提供一个 JSON 网页令牌 (JWT) 以启动与 Control Room 的注册过程。 如果由 Bot Agent 设备提供的令牌与 Control Room 提供的令牌不匹配,注册过程将会失败。 此操作可以验证客户端 Bot AgentControl Room 的连接。
Bot Agent 的批量安装和注册模式下,Bot Agent 设备会通过 autoregistration.properties 文件中指定的 Control Room URL 进行在线预注册。 使用批量注册设置时,如果没有该设备的管理员权限,则无法输入或指定虚假的 Control Room URL。 当 Bot Agent 第一次启动时,它将读取 autoregistration.properties 文件,并将自身注册到属性文件中指定的 Control Room URL。 默认情况下,将 Bot Agent 注册从一个 Control Room 切换到另一个的选项处于禁用状态。 只有 Control Room 管理员才能启用此选项。 如果在此选项被禁用时有人尝试注册另一个 URL,注册将立即失败,并生成一个错误提示,说明 Control Room 已被注册且不允许切换 Control Room URL。
通过仅向管理员提供缓存文件夹的写入权限,并为所有可以运行 bots 的其他用户提供读取权限,我们可以确保当 bot 下载到设备缓存时,它无法被篡改以执行可能有害的操作。
Bot AgentControl Room 之间的通信
Bot Agent 设备使用 HTTPS(出站端口 443)与 Control Room 建立 WebSocket 连接,并且不需要入站连接。
  • 服务器身份验证: 传输层安全 (TLS) 握手可确保由知名认证机构 (CA) 颁发的服务器证书中的通用名称 (CN) 与信任链证书中包含的合法主机名相匹配。
  • 客户端身份验证: 注册后,需要从 Bot Agent 获取有效的 JSON 网页令牌 (JWT) 以建立与 Control Room 的连接。 此令牌由 Bot Agent 生成,并使用 Bot Agent 私钥签名,用于验证 Bot Agent 的身份并确保令牌通过身份验证。 此令牌可以通过注册过程中发送到 Control RoomBot Agent 公钥进行验证。 每次 Bot Agent 设备连接到 Control Room 时,都会使用相同的过程进行身份验证。 令牌验证通过后,Control Room 会生成新的 JSON 网页令牌 (JWT),并发送到 Bot Agent 以将现有的 HTTP 连接转换为 WebSocket 连接。
客户网络与 Cloud 服务之间的数据连接受到强大 TLS 连接的保护,该连接利用至少 2048 位 RSA 服务器证书、128 位对称加密密钥和更强的 TLS 协议。 这种安全连接使得几乎不可能破坏已创建的 TLS 连接。
在 WebSocket 连接建立后,客户的网络与 Cloud 服务之间的通信是安全且双向的。 Bot Agent 设备与 Automation 360 Cloud 托管的 Control Room 之间的连接是永久性的,如果连接丢失,会自动重新建立。 此连接用于下载 bots 以运行并将操作状态信息发送到 Control Room
注: 连接只需建立一次,而非每次与 bot 互动时都建立。
计划要运行的 bots
Control Room 用户可以计划要运行的 bots。 编译后的 bots 被下载到 Bot Agent 设备上运行,操作日志从 Bot Agent 设备发送到 Control Room
对于要运行的 botsBot Agent 通过在 Bot Agent 设备上以授权的 Bot Runner 用户身份进行身份验证来建立活动的 Windows 会话。
bots 提供安全凭证
Bot Agent 设备上运行的 Bots 需要使用凭据登录设备。 您可以将凭据安全地存储在 Automation 360 Cloud Control Room 凭据保管库中。 或者,您可以将凭据存储在客户托管的密钥管理系统中(例如 CyberArk)。 在客户托管的密钥管理系统中存储凭据时,您必须在 Control Room 和客户的密钥管理系统之间具有连接。 要提供连接并允许访问,您必须在防火墙中为托管 Control Room 的特定 Automation 360 Cloud 区域配置 Automation 360 Cloud IP 地址。 有关更多信息,请参阅 外部集成 Control Room IP 地址

Automation 360 Cloud 中的安全操作

Automation 360 Cloud 是安全的,并符合以下合规标准: SOC 1、SOC 2、ISO 27001:2022: 信息安全管理体系 (ISMS),ISO 27017:2015: Cloud 服务的信息安全控制、ISO 27018:2019: 在 Cloud 环境中保护个人身份信息 (PII) 和 HITRUST。