单击此处阅读英语博客

在 RPA 领域中,安全身份可谓是新前沿

写的 Semyon Sergunin 产品见解 上 April 21, 2020
frictionless-rpa

在通向机器人流程自动化 (RPA) 的路上,安全是确保企业级适当的隐私程度并合规于特定业务场景的关键成功因素。


RPA 领域里,机器人要访问贵公司的系统和平台,以更快运行任务、提高准确性、节省成本、改善员工体验。机器人会使用它们自己的证书来处理这套公司信息,所以确保对此领域有最高程度的控制权很重要。

内置安全设置

安全管理框架的典型支柱之一是身份管理。在 Automation Anywhere Enterprise 中,内置这套功能以确保贵公司能在认证方案、授权控制和审计工具上实现特定场景,以在合规与复杂性/总体拥有成本之间找到合适平衡。

美国国家标准与技术研究院 (NIST) 网络安全框架核心包括五大高级功能:识别、保护、探测、响应、发现。Enterprise A2019 平台默认提供一些功能以在此 NIST 模型中实现关键安全控制,包括访问控制、审计和问责、全球框架中的识别和授权组这些方面的主要功能。

这意味着您、我们的客户和合作伙伴能在不用其他产品或服务的前提下,简单实现您的身份管理场景,并最大程度匹配任何特定合规要求。

遵循最低程度权责分离的主要原则,比如 Enterprise 允许使用基于角色的访问控制 (RBAC) 的方式,来最大程度控制赋权并根据需要加快改变。

其他在 Control Room 内认证用户的方法有:微软 Active Directory(LDAP 或 Kerberos)和本地认证(因为使用了我们的 Credential Vault 安全性得到提升,它会给所有内部数据加密)。

确保充分控制

在 Enterprise 的内部结构中,当 Control Room 执行“可信通路”机制(正如 NIST SC-11 描述的那样)时,你会看到出现动态令牌来认证 Bot Creator 和 Bot Runner。

这些令牌遵循 NIST IA-5,为了避免外部参与者攻击,一段时间后令牌会再生。以上通信基于 HTTPS,并为攻击 RPA 场景设置了新屏障(访问令牌对每个 Bot Creator 或 Bot Runner 来说都是独一无二的。) 您可以在我们的文档中,进一步了解在这个场景中使用的其他 NIST 控制方式。

确保适当程度控制的另一举措是 Bot Runner 管理。这包括两层身份管理:一是根据证书(通过 HTTPS 从集中 Credential Vault 中获取),二是为 Control Room 内每一个节点处理授权。

在 Control Room 内,根据可靠的算法把密码哈希化后,变成比如 PBKDF2WithHmacSHA512,才能存储。每次 Bot Creator 或 Bot Runner 根据 Enterprise Control Room 进行认证时,它的证书都根据哈希化的证书来认证。

优先进行安全管理

如果商业场景需要其他扩展认证模式,您可以使用多重身份认证 (MFA) 或单点登录 (SSO),来更好地共享对身份和性能提升的控制。机器人会使用这些认证方式,并会以透明高效且无人监管的方式获取或丧失相应层级的访问权。

如果机器人证书与高级权限有关,您可以通过 CyberArk 连接扩展 Credential Vault 功能,然后凭借可靠的第三方解决方案处理此场景。针对这种连接的其他特权账户管理器和硬件安全模块,会在接下来几个月内发布。

对此 RPA 平台上所有活动的审计和问责是安全管理的要素。贵公司(合规方)或第三方(外部审计)可以请求对所有 RPA 活动的完整审阅,以确保您环境中的一切都遵循内部最佳方法和外部(国际或本地)规程。审阅可关注一般性主题(比如数据隐私)或特定商业主题,比如付款方式,即支付卡行业数据安全标准 (PCI DSS)。

之后您可以准备好这些信息,以访问 Control Room 中的审核日志审阅特定角色(就算是来自审计公司的外部用户也可访问)。根据需要,也可使用外部兼容 Syslog的系统,因为 Control Room 会使用事实标准定期向其他系统发送日志信息(使用 UDP 或 TCP,配置成在 Enterprise Control Room 和远程 Syslog 服务器之间使用 TLS 加密)。

此功能使贵公司能将 RPA 平台与 Splunk 这样的安全信息和事件管理 (SIEM) 软件连结起来。

对所有权限和非权限角色的审核都自动执行,以符合 NIST AC-6 中规定的最佳实践。也应用其他 NIST 控制,以访问审核日志。

也实施相似的防护措施以审核所有的 Bot Runner 活动,并在管理中(遵循 NIST AU-6 控制)提供佳方法。另外,符合 NIST AU-10 (不可否认)和 AU-11(审计记录保留)控制的额外功能保护着 Control Room 内的活动日志。

总之,我们所有产品的安全措施总是基于身份管理。贵公司可实现任何种类的安全框架,因为您心里踏实地知道 Automation Anywhere RPA 平台会实现关键功能,或通过整合第三方解决方案和市场标准来实施适用范围更广的解决方案。

您 RPA 领域内的一切都会被保护,就算是机器人,身份也会成为安全新前沿。

确保您的自动化流程是安全的。