安全架构模型
Automation Anywhere Cognitive 安全架构基于最小特权原则和严格的职责分离模型,在 7 个 NIST 控制系列中实施了 41 项技术控制。
NIST 框架已被选为最佳实践的基础,作为枚举实施的控制措施的一种方式。从 NIST 到其他控制框架的转换被广泛可用,本主题末尾提供了相关资源。
产品安全架构由 Automation Anywhere 的产品管理团队维护,并作为 Automation Anywhere 开发路线图的组成部分,成为正式策略模型的一部分。下表列出了控制系列以及相应的功能和安全影响。有关每个控制系列以及如何在 Automation Anywhere 产品中实施安全架构的详细信息,请参阅相应的主题。
| 控制系列 | 控制代码 | Control Room 功能 | 安全影响 |
|---|---|---|---|
| 访问控制 | AC-3、6、7、9、10、12 | 集中策略控制 | 对更改控制和系统组件的最低权限实施访问限制:
|
| AC-2、3、5、6 | 基于角色的访问控制 (RBAC) | 启用用户访问、限制操作权限、执行最小权限原则 | |
| AC-17 | Bot存储库 | 具有访问限制的 Bot 版本控制系统 | |
| AC-3、7、9、10、11 | Bot 和 Bot Runner 加密 | 通过凭据保管库和与密钥管理系统的集成,在 bot 级别加密和模糊化敏感信息 | |
| 配置(变更)管理 | CM-2、5、6、7、9 | 集中 Bot Runner 控制 | 基于角色和域限制功能;实现“拒绝所有”和“允许”例外 |
| CM-10 | 集中授权 | 集中预配置、追踪和执行 Bot Creator 和 Bot Runner 授权 | |
| CM-2、5、6、8 | Bot 操作室 | ||
| CM-8 | 库存控制 | 对所有 bots 和运行时维持集中库存控制 | |
| Bot Creator 配置管理 | SA-10 | Bot Creator 管理、bot 登入、登出 | Control Room 将软件生命周期管理应用于 bots 的开发、测试和生产。Bot 版本控制可实现自动化的变更控制。 |
| 审计和责任 | AU-1 至 15 | 审计跟踪 | 在三个级别捕获的自动事件日志:Control Room、Bot Runners 和 Bot Creators。通过只读日志确保不可否认性,所有用户身份都绑定到操作。 |
| 识别和身份验证 | IA-1 至 5 | Active Directory 集成、Bot Runner ID 和证明 | 实施 Windows 平台安全功能,包括密码双向身份验证、Bot Runner 识别和证明以及密码管理策略。与密钥管理系统集成的凭据保管库,保护凭证的完整性。 |
| 事件响应 | IR-4、6 | 事件响应 | Bot Insight 嵌入式分析功能可以监控事件,并为 SIEM 系统生成警报,以便响应。 |
| 受控维护 | MA-2 | 自动维护 | Control Room 版本控制系统提供自动化机制,以对 bots 实施更新,并维护历史信息。 |
(1) 资源:ISACA 提供将 NIST SP800-53 映射到 CoBIT (SOX)、SANS Top20 (http://www.counciloncybersecurity.org/critical-controls/tools/) 和 ISO27002 (http://www.bankinfosecurity.in/mapping-nist-controls-to-iso-standards-a-7251) 等其他安全框架的指南。