Para integrar y automatizar las aplicaciones en la nube y en las instalaciones, las cadenas aprovechan la seguridad de Amazon® Web Services (AWS) y una arquitectura iPaaS para ajustarse a los estándares de arquitectura empresarial integrales y a las estrictas políticas de seguridad de TI. Cada capa de la arquitectura de Chain Builder protege los datos del cliente y:
- Proporciona control de acceso a los sistemas sensibles con los que interactúa
- Responde a las exigencias de la arquitectura moderna
- Cumple las normas SOC1 y SOC2
- A menudo supera las certificaciones requeridas para la nube
Arquitectura de referencia
Puede crear cadenas de forma segura mediante el protocolo HTTPS (TLS 1.3 o superior) a través de dispositivos web y móviles. Dentro del servicio host se ejecuta la aplicación principal, una base de datos habilitada para el estándar de cifrado avanzado (AES) que aloja metadatos de forma segura y una cola para gestionar la comunicación y la ejecución de tareas en agentes de servicio remotos CloudRunner y GroundRunner .
En resumen, la arquitectura del constructor de cadenas incluye:
- La interfaz de usuario segura basada en navegador para ejecutar y administrar integraciones.
- El servicio central multi-tenant alojado en Amazon Web Services (AWS)
- Agentes de ejecución remotos CloudRunner y GroundRunner para interactuar con aplicaciones en la nube y locales
GroundRunners y CloudRunners
Los agentes de ejecución -denominados GroundRunners- se alojan en las instalaciones e interactúan con aplicaciones tanto dentro como fuera de la red de un cliente. GroundRunners:
- Tienen una huella de recursos ligera.
- Compatibilidad con los sistemas operativos Microsoft Windows®, Linux®, macOS® y Oracle Solaris® en recursos informáticos físicos y virtuales.
- Realice todas las tareas de automatización e integración necesarias, desde la ejecución de un simple comando del sistema operativo hasta operaciones nativas de la aplicación, como cargar o recuperar datos.
Para acceder a un sistema local, debe alojar un GroundRunner en un entorno operativo que pueda acceder al servicio host.
Si no necesita acceder a un sistema local, el CloudRunner alojado por defecto en Workiva ejecuta las tareas de integración.
Consideraciones sobre el despliegue | Corredor de tierra | CloudRunner |
---|---|---|
Instalación | Requiere la instalación en un entorno informático dentro de su cortafuegos corporativo que pueda interactuar con el servicio de host externo a través del puerto 443. Más información | Ninguno |
Sistema operativo | Microsoft Windows, Linux, Oracle Solaris o macOS. Los ejecutables se ejecutan como un servicio y deben iniciarse bajo una cuenta de servicio concreta con los privilegios adecuados para el sistema operativo u otros recursos compartidos. | No aplicable |
Responsabilidad del servicio | Su organización es responsable de alojar, gestionar e instalar GroundRunners | El CloudRunner por defecto -proporcionado como parte de Chain Builder- es responsabilidad de Workiva |
Flujo de datos | Con el uso de un GroundRunner, sus datos se no transmiten a través del servicio host | Cuando CloudRunner interactúa directamente con una tecnología de nube compatible, transmite los datos a través del servicio host |
Integración local y en la nube | Integración total y sin fisuras con las aplicaciones locales y en la nube | Integración sólo entre aplicaciones en nube |
Uso nativo de las API publicadas por las aplicaciones | Dependiendo del sistema local, las conexiones utilizan diferentes interfaces de programación de aplicaciones (API). Para las tecnologías en la nube, las conexiones sólo utilizan API REST publicadas que transmiten datos de forma segura a través de HTTPS (TLS 1.3). | Las conexiones sólo utilizan API REST publicadas que transmiten datos de forma segura a través de HTTPS (TLS 1.3) |
Los GroundRunners comprueban periódicamente si hay nuevas actualizaciones. Cuando un GroundRunner detecta una actualización, descarga automáticamente los nuevos binarios utilizando la estricta capa de transporte seguro. También puede descargar y desplegar los binarios manualmente. Para evitar ataques de intermediario, los nuevos binarios se firman y cifran.
Seguridad de la red
Chain Builder está alojado en AWS y su red funciona dentro de una nube privada virtual (VPC). Este cortafuegos virtual permite a Workiva controlar el tráfico hacia y desde Chain Builder. A un nivel más granular, los servicios de Chain Builder se alojan en subredes públicas y privadas -o bloques aislados de direcciones IP- de la VPC. La VPC actúa como una DMZ, por lo que:
- Las subredes públicas contienen servicios a los que se accede directamente a través de la Internet pública mediante solicitudes HTTPS en un único puerto (443).
- Las subredes privadas impiden el tráfico público y alojan servicios internos a los que sólo acceden los servicios dentro de la VPC.
Seguridad en la transmisión de datos
Para garantizar la total seguridad de la transmisión de datos entre sistemas, todo el tráfico hacia y desde Chain Builder se cifra con el protocolo TLS 1.3 utilizando certificados de 2048 bits. Además, la comunicación entre aplicaciones internas está encriptada para garantizar que todas las transmisiones se envían desde una fuente legítima.
Los GroundRunners y el CloudRunner admiten el intercambio directo de datos, mediante el cual los agentes pueden descargar e intercambiar archivos a través de un canal de comunicación utilizando el mismo protocolo TLS 1.3 además de un JSON Web Token (JWT). Cada GroundRunner soporta el intercambio directo de datos agente a agente y es configurable para activar o desactivar esta opción y controlar su puerto de escucha (por defecto, 8821).
Para crear un canal seguro, los GroundRunners también funcionan con un servidor proxy corporativo dirigido por el departamento de TI de su empresa para comunicarse con el servicio host.
Seguridad de la base de datos
Los servidores de bases de datos se alojan en subredes privadas. A estas bases de datos no se puede acceder directamente desde la Internet pública; sólo los servicios dentro de la VPC pueden conectarse a ellas. Todas las conexiones a las bases de datos están protegidas por contraseña y sólo se puede acceder a los puertos necesarios. Para evitar la pérdida de datos, las bases de datos son altamente redundantes y están distribuidas en varios centros de datos.
Se realizan copias de seguridad diarias de las bases de datos. Estas instantáneas se almacenan en Amazon Simple Storage Service (S3) con un nivel de cifrado de AES-256 y en varias zonas de disponibilidad para garantizar una capa adicional de redundancia segura.
Gestión de datos y metadatos
Para describir y proporcionar información sobre los datos, el servicio host almacena estos metadatos con un nivel de cifrado AES-256:
- Diseñar metadatos, como la configuración de espacios de trabajo, cadenas y tareas.
- Auditoría de metadatos, como el historial de cambios de cualquier componente, incluidos los espacios de trabajo, las cadenas, los recursos de archivos y los calendarios.
- Metadatos de tiempo de ejecución, como el historial de ejecución de cadenas y tareas y cualquier registro producido por el servidor, CloudRunner o GroundRunners.
Los CloudRunner y GroundRunners realizan toda la transmisión de datos y se interconectan directamente con:
- La plataforma Workiva
- Aplicaciones en la nube como Anaplan®, Salesforce®, Oracle® EPM Cloud y Tableau®
- Aplicaciones locales como Oracle® Hyperion o SQL Server® a través de sus API nativas
Una cadena puede incluir una tarea que produzca un archivo plano de almacenamiento efímero conocido como salida.
- Si CloudRunner genera la salida, esta se almacena con un nivel de cifrado de AES-256 en un volumen de AWS Elastic File System (EFS).
- Si un GroundRunner genera la salida, ésta se almacena efímeramente en el sistema de archivos del host, que determina el nivel de cifrado.
Los archivos adjuntos al flujo de trabajo son efímeros y desaparecen una vez finalizado el flujo de trabajo. Para conservar un archivo asociado a un flujo de trabajo, guárdelo en un sistema de archivos local o en una unidad en la nube como Google® Drive o BOX®.
Los archivos confidenciales, como los recursos cargados para un espacio de trabajo o conector, se cifran mediante el cifrado HashiCorp Vault Transit y se almacenan cifrados en Amazon Simple Storage Service (S3). Los campos de texto confidenciales, como las credenciales de autenticación introducidas como propiedad de un conector, se almacenan como secretos cifrados de HashiCorp Vault en Amazon DynamoDB®. Para almacenar la llave maestra, tanto Vault Transit como Vault Secrets/KV Store utilizan el sello awskms
.