安全性架構模型
Automation Anywhere Cognitive 安全性架構是根據最低權限原則與嚴格的職責分離模式,包括在七個 NIST 控制系列中實作的 41 項技術控制項。
NIST 架構被選為最佳實務的基礎,當做列舉整個過程中所實作的控制項的一種方式。從 NIST 轉譯成其他控制架構的內容可廣泛地供人使用,本主題的結尾處提供相關資源。
產品安全架構由 Automation Anywhere的產品管理團隊維護,並作爲 Automation Anywhere 開發路線圖的組成部分,構成正式策略模型的一部分。以下表格列出控制系列以及對應的功能和安全性影響。在對應主題中也會提供每個控制系列的詳細資料,以及如何在 Automation Anywhere 產品中實作安全性架構。
| 控制家庭 | 控制代碼 | Control Room 特徵 | 安全性影響 |
|---|---|---|---|
| 存取控制 | AC-3, 6, 7, 9, 10, 12 | 中央策略控制 | 對變更控制強制執行存取限制、並對系統元件強制執行最低權限:
|
| AC-2, 3, 5, 6 | 基於角色的訪問控制 (RBAC) | 啟用使用者存取、限制操作權限、強制執行最低權限原則 | |
| AC-17 | Bot存放庫 | Bot 具有訪問限制的版本控制系統 | |
| AC-3, 7, 9, 10, 11 | Bot 和 Bot Runner 加密 | 通過 bot 憑證庫和與密鑰管理系統集成,在一級加密和混淆敏感信息 | |
| 配置(更改)管理 | CM-2, 5, 6, 7, 9 | 集中 Bot Runner 控制 | 根據角色、域限制功能,實現 deny - all 和 allow-by 異常 |
| CM-10 | 集中式授權 | 集中供應、跟蹤和實施 Bot Creator 以及 Bot Runner 許可 | |
| CM-2, 5, 6, 8 | Bot 營運室 | ||
| CM-8 | 庫存控制 | 維護所有 bots 和運行時的集中庫存控制 | |
| Bot Creator 配置管理 | SA-10 | Bot Creator 管理、 bot 入住、退房 | Control Room 從 bots 開發、測試和生產應用軟件生命週期管理。Bot 版本控制可對自動化進行更改控制。 |
| 審計和問責制 | AU-1 至 15 | 稽核記錄 | 在三個級別捕獲的自動事件日誌:Control Room、Bot Runners 和 Bot Creators。通過只讀日誌確保不可否認性,所有用戶標識都綁定到操作。 |
| 識別和驗證 | IA-1 到 5. | Active Directory 集成、 Bot Runner ID 和證明 | 實現 Windows 平臺安全性,包括加密雙向身份驗證、 Bot Runner 標識和證明以及密碼管理策略。認證資料保險箱與金鑰管理系統整合、可保護認證的完整性。 |
| 事件響應 | IR-4, 6 | 事件響應 | Bot Insight 嵌入式分析功能可監控事件、並產生 SIEM 系統的警示以供回應。 |
| 受控維護 | MA-2 | 自動化維護 | Control Room 版本控制系統提供了一種自動化機制,用於對進行更新 bots,並維護歷史信息。 |
(1) 資源: ISACA 提供了將 NIST SP800-53 映射到其他安全框架(如 COBIT (SOX) 、 SANS Top20 (http://www.counciloncybersecurity.org/critical-controls/tools/ 和 ISO27002 ( http://www.bankinfosecurity.in/mapping-nist-controls-to-iso-standards-a-7251 ))的指南。