Um Cloud- und lokale Anwendungen zu integrieren und zu automatisieren, nutzen Ketten die Amazon® Web Services (AWS) Sicherheit und eine iPaaS-Architektur, die umfassende Unternehmensarchitekturstandards und strenge IT-Sicherheitsrichtlinien erfüllt. Jede Schicht der Architektur des Chain Builders schützt Client-Daten und:
- Bietet eine Zugangskontrolle für die sensiblen Systeme, mit denen es eine Schnittstelle bildet
- Entspricht den Anforderungen der modernen Architektur
- Ist SOC1- und SOC2-konform
- Übertrifft oft die erforderlichen Cloud-Zertifizierungen
Referenzarchitektur
Sie erstellen Ketten sicher über das HTTPS-Protokoll (TLS 1.3 oder höher) über web- und mobilfähige Geräte. Innerhalb des Host-Dienstes läuft die primäre Anwendung, eine Advanced Encryption Standard (AES)-fähige Datenbank, die Metadaten und eine Warteschlange zur Verwaltung der Kommunikation und Aufgabenausführung auf den Remote CloudRunner und GroundRunner Service Agents sicher aufnimmt.
Zusammenfassend lässt sich sagen, dass die Architektur des Kettenaufbauers Folgendes umfasst:
- Die sichere browserbasierte Benutzeroberfläche zur Ausführung und Verwaltung von Integrationen.
- Der zentrale mandantenfähige Dienst wird in Amazon Web Services (AWS) gehostet
- Remote CloudRunner- und GroundRunner-Ausführungsagenten als Schnittstelle zu Cloud- und On-Premises-Anwendungen
GroundRunners und CloudRunners
Die Ausführungsagenten - die so genannten GroundRunners - werden vor Ort gehostet und bilden eine Schnittstelle zu Anwendungen innerhalb und außerhalb des Client-Netzwerks. GroundRunners:
- Sie haben einen geringen Ressourcenverbrauch.
- Unterstützung der Betriebssysteme Microsoft Windows®, Linux®, macOS® und Oracle Solaris® auf physischen und virtuellen Computerressourcen.
- Führen Sie alle erforderlichen Automatisierungs- und Integrationsaufgaben aus, von der Ausführung eines einfachen Betriebssystembefehls bis hin zu nativen Anwendungsoperationen wie dem Laden oder Abrufen von Daten.
Um auf ein lokales System zuzugreifen, müssen Sie einen GroundRunner auf einer Betriebsumgebung hosten, die auf den Host-Service zugreifen kann.
Wenn Sie keinen Zugriff auf ein lokales System benötigen, führt der von Workiva gehostete CloudRunner die Integrationsaufgaben aus.
Erwägung des Einsatzes | GroundRunner | CloudRunner |
---|---|---|
Einrichtung | Erfordert die Installation in einer Computerumgebung innerhalb der Unternehmensfirewall, die über Port 443 mit dem externen Hostdienst verbunden werden kann. Weitere Informationen | Keine |
Das Betriebssystem | Microsoft Windows, Linux, Oracle Solaris oder macOS. Die ausführbaren Dateien werden als Dienst ausgeführt und müssen unter einem bestimmten Dienstkonto mit den entsprechenden Berechtigungen für das Betriebssystem oder andere gemeinsam genutzte Ressourcen gestartet werden. | Nicht zutreffend |
Verantwortung für den Dienst | Ihre Organisation ist verantwortlich für das Hosting, die Verwaltung und die Installation von GroundRunners | Der Standard-CloudRunner, der als Teil des Chain Builders bereitgestellt wird, liegt in der Verantwortung von Workiva |
Datenfluss | Bei Verwendung eines GroundRunners werden Ihre Daten nicht durch den Host-Dienst übertragen | Wenn der CloudRunner direkt mit einer unterstützten Cloud-Technologie verbunden ist, überträgt er die Daten über den Host-Service |
Integration vor Ort und in der Cloud | Vollständige und nahtlose Integration sowohl mit lokalen als auch mit Cloud-Anwendungen | Integration nur zwischen Cloud-Anwendungen |
Native Nutzung der veröffentlichten APIs von Anwendungen | Je nach lokalem System werden für die Verbindungen unterschiedliche Anwendungsprogrammierschnittstellen (APIs) genutzt. Bei Cloud-Technologien verwenden die Verbindungen nur veröffentlichte REST-APIs, die Daten sicher über HTTPS (TLS 1.3) übertragen. | Verbindungen verwenden nur veröffentlichte REST-APIs, die Daten sicher über HTTPS (TLS 1.3) übertragen |
GroundRunners prüfen regelmäßig, ob es neue Upgrades gibt. Wenn ein GroundRunner ein Upgrade erkennt, lädt er automatisch die neuen Binärdateien unter Verwendung der strengen sicheren Transportschicht herunter. Alternativ können Sie die Binärdateien auch manuell herunterladen und verteilen. Um Man-in-the-Middle-Angriffe zu verhindern, werden neue Binärdateien signiert und verschlüsselt.
Sicherheit im Netz
Chain Builder wird auf AWS gehostet, und sein Netzwerk wird innerhalb einer Virtual Private Cloud (VPC) betrieben. Diese virtuelle Firewall ermöglicht es Workiva, den Datenverkehr von und zu Chain Builder zu kontrollieren. Auf einer detaillierteren Ebene werden die Services von Chain Builder in öffentlichen und privaten Subnetzen - oder isolierten Blöcken von IP-Adressen - der VPC gehostet. Die VPC fungiert als DMZ, wobei:
- Die öffentlichen Teilnetze enthalten Dienste, die direkt über das öffentliche Internet über HTTPS-Anfragen an einem einzigen Port (443) zugänglich sind.
- Die privaten Subnetze verhindern den öffentlichen Datenverkehr und beherbergen interne Dienste, auf die nur die Dienste innerhalb der VPC zugreifen.
Sicherheit der Datenübertragung
Um die vollständige Sicherheit der Datenübertragung zwischen den Systemen zu gewährleisten, wird der gesamte Datenverkehr zum und vom Chain Builder mit dem TLS 1.3-Protokoll und 2048-Bit-Zertifikaten verschlüsselt. Darüber hinaus wird die Kommunikation zwischen internen Anwendungen verschlüsselt, um sicherzustellen, dass alle Übertragungen von einer legitimen Quelle stammen.
GroundRunner und CloudRunner unterstützen den direkten Datenaustausch, wobei die Agenten Dateien über einen Kommunikationskanal herunterladen und austauschen können, der dasselbe TLS 1.3-Protokoll und zusätzlich ein JSON Web Token (JWT) verwendet. Jeder GroundRunner unterstützt den direkten Datenaustausch von Agent zu Agent und kann so konfiguriert werden, dass er diese Option aktiviert oder deaktiviert und seinen Listening Port steuert (standardmäßig 8821).
Um einen sicheren Kanal zu schaffen, arbeiten GroundRunner auch mit einem Proxyserver Ihres Unternehmens, der von Ihrer IT-Abteilung angewiesen wird, mit dem Host-Dienst zu kommunizieren.
Sicherheit der Datenbankebene
Die Datenbankserver werden in privaten Teilnetzen gehostet. Auf diese Datenbanken kann nicht direkt vom öffentlichen Internet aus zugegriffen werden; nur Dienste innerhalb der VPC können sich mit ihnen verbinden. Alle Verbindungen zu Datenbanken sind passwortgeschützt, und nur die erforderlichen Ports sind zugänglich. Um Datenverluste zu vermeiden, sind die Datenbanken hochgradig redundant und auf mehrere Rechenzentren verteilt.
Die Datenbanken werden täglich gesichert. Diese Snapshots werden in Amazon Simple Storage Service (S3) mit einer Verschlüsselungsstufe von AES-256 und über mehrere Verfügbarkeitszonen hinweg gespeichert, um eine zusätzliche Schicht sicherer Redundanz zu gewährleisten.
Verwaltung von Daten und Metadaten
Zur Beschreibung und Bereitstellung von Informationen über Daten speichert der Host-Dienst diese Metadaten mit einer Verschlüsselungsstufe von AES-256:
- Entwurf von Metadaten, wie die Konfiguration von Arbeitsbereichen, Ketten und Aufgaben.
- Audit-Metadaten, wie z. B. die Änderungshistorie für jede Komponente, einschließlich Arbeitsbereichen, Ketten, Dateiressourcen und Zeitplänen.
- Laufzeit-Metadaten, wie z. B. der Verlauf von Ketten- und Aufgabenläufen und alle vom Server, CloudRunner oder GroundRunner erstellten Protokolle.
Der CloudRunner und der GroundRunner führen die gesamte Datenübertragung durch und haben eine direkte Schnittstelle:
- Die Workiva-Plattform
- Cloud-Anwendungen wie Anaplan®, Salesforce®, Oracle® EPM Cloud und Tableau®
- Vor-Ort-Anwendungen wie Oracle® Hyperion oder SQL Server® über ihre nativen APIs
Eine Kette kann eine Aufgabe enthalten, die eine ephemere flache Staging-Datei, die so genannte Ausgabe, erzeugt.
- Wenn der CloudRunner die Ausgabe erzeugt, wird sie mit einer Verschlüsselungsstufe von AES-256 auf einem AWS Elastic File System (EFS)-Volume gespeichert.
- Wenn ein GroundRunner die Ausgabe generiert, wird sie ephemer auf dem Dateisystem des Hosts gespeichert, der den Verschlüsselungsgrad bestimmt.
Workflow-Anhänge sind flüchtig und verschwinden nach Abschluss des Workflows. Um eine mit einem Workflow verknüpfte Datei aufzubewahren, speichern Sie sie in einem lokalen Dateisystem oder einem Cloud-Laufwerk wie Google® Drive oder BOX®.
Sensible Dateien - wie z. B. Ressourcen, die für einen Arbeitsbereich oder einen Connector hochgeladen werden - werden über die HashiCorp Vault Transit-Verschlüsselung verschlüsselt und verschlüsselt im Amazon Simple Storage Service (S3) gespeichert. Sensible Textfelder - wie z. B. Authentifizierungsdaten, die als Konnektoreigenschaft eingegeben werden - werden als verschlüsselte HashiCorp Vault Secrets in Amazon DynamoDB® gespeichert. Zur Aufbewahrung des Hauptschlüssels verwenden sowohl Vault Transit als auch Vault Secrets/KV Store awskms
seal.