Para integrar y automatizar las aplicaciones en la nube y en las instalaciones, las cadenas aprovechan la seguridad de Amazon® Web Services (AWS) y una arquitectura iPaaS para ajustarse a las normas integrales de arquitectura empresarial y a las estrictas políticas de seguridad informática. Cada capa de la arquitectura del Generador de cadenas protege los datos del cliente y:
- Proporciona control de acceso a los sistemas sensibles con los que interactúa.
- Aborda los requisitos de la arquitectura moderna
- Cumple las normas SOC1 y SOC2
- A menudo supera los certificados requeridos para la nube
Arquitectura de referencia
Crea cadenas de forma segura mediante el protocolo HTTPS (TLS 1.3 o superior) a través de dispositivos web y móviles. Ejecutando dentro del servicio host está la aplicación principal, una Base de datos habilitada para el Estándar de Cifrado Avanzado (AES) que aloja metadatos de forma segura y una cola para gestionar la comunicación y la ejecución de tareas en los agentes remotos de los servicios CloudRunner y GroundRunner.
En resumen, la arquitectura del Generador de cadenas incluye:
- La interfaz de usuario segura basada en navegador para ejecutar y administrar integraciones.
- El servicio central multiusuario alojado en Amazon Web Services (AWS)
- Agentes de ejecución remotos CloudRunner y GroundRunner para interactuar con aplicaciones en la nube y locales
GroundRunners y CloudRunners
Los agentes de ejecución -conocidos como GroundRunners- están alojados en las instalaciones e interactúan con aplicaciones tanto dentro como fuera de la red de un cliente. GroundRunners:
- Tiene una ligera huella de recursos.
- Soporta los sistemas operativos Microsoft Windows®, Linux®, macOS® y Oracle Solaris® en recursos informáticos físicos y virtuales.
- Realiza todas las tareas de automatización e integración necesarias, desde ejecutar un simple comando del sistema operativo hasta operaciones nativas de la aplicación, como cargar o recuperar datos.
Para acceder a un sistema local, debes alojar un GroundRunner en un entorno operativo que pueda acceder al servicio del host.
Si no necesitas acceder a un sistema local, el CloudRunner alojado por defecto en Workiva ejecuta las tareas de integración.
| Consideraciones sobre el despliegue | GroundRunner | CloudRunner |
|---|---|---|
| Instalar | Requiere la instalación en un entorno informático dentro de tu cortafuegos corporativo que pueda interactuar con el servicio de host externo a través del puerto 443. Más información | Ninguno |
| Sistema operativo | Microsoft Windows, Linux, Oracle Solaris o macOS. Los ejecutables se ejecutan como un servicio y deben iniciarse en una cuenta de servicio concreta con los privilegios adecuados para el sistema operativo u otros recursos compartidos. | No aplicable |
| Responsabilidad del servicio | Tu organización es responsable de alojar, gestionar e instalar los GroundRunners | El CloudRunner predeterminado -proporcionado como parte del Generador de cadenas- es responsabilidad de Workiva |
| Flujo de datos | Con el uso de un GroundRunner, tus datos no se transmiten a través del servicio anfitrión | Cuando el CloudRunner interactúa directamente con una tecnología de nube compatible, transmite los datos a través del servicio anfitrión. |
| Integración local y en la nube | Integración completa y sin fisuras con aplicaciones locales y en la nube | Integración solo entre aplicaciones en la nube |
| Uso nativo de las API publicadas de las aplicaciones | Dependiendo del sistema local, las conexiones aprovechan diferentes interfaces de programación de aplicaciones (API). Para las tecnologías en la nube, las conexiones solo utilizan API REST publicadas que transmiten datos de forma segura a través de HTTPS (TLS 1.3). | Las conexiones solo utilizan API REST publicadas que transmiten datos de forma segura a través de HTTPS (TLS 1.3) |
Los GroundRunners comprueban periódicamente si hay nuevas actualizaciones. Cuando un GroundRunner detecta una actualización, descarga automáticamente los nuevos binarios utilizando la estricta capa de transporte seguro. También puedes descargar y desplegar los binarios manualmente. Para evitar los ataques de intermediario, los nuevos binarios se firman y cifran.
Seguridad de la red.
El Generador de cadenas está alojado en AWS, y su red funciona dentro de una Nube Privada Virtual (VPC). Este cortafuegos virtual permite a Workiva controlar el tráfico hacia y desde el Generador de cadenas. A un nivel más granular, los servicios del Generador de cadenas se alojan en subredes públicas y privadas -o bloques aislados de direcciones IP- de la VPC. La VPC actúa como una DMZ, por lo que:
- Las subredes públicas contienen servicios a los que se accede directamente a través de la Internet pública mediante solicitudes HTTPS en un único puerto (443).
- Las subredes privadas impiden el tráfico público y alojan servicios internos a los que solo acceden los servicios dentro de la VPC.
Seguridad en la transmisión de datos
Para garantizar la seguridad total de la transmisión de datos entre sistemas, todo el tráfico hacia y desde el Generador de cadenas se cifra con el protocolo TLS 1.3 utilizando certificados de 2048 bits. Además, la comunicación entre aplicaciones internas está cifrada para garantizar que todas las transmisiones se envían desde un origen legítimo.
GroundRunner y CloudRunner admiten el intercambio directo de datos, mediante el cual los agentes pueden descargar e intercambiar archivos a través de un canal de comunicación utilizando el mismo protocolo TLS 1.3, además de un token web JSON (JWT). Cada GroundRunner admite el intercambio directo de datos agente a agente y se puede configurar para activar o desactivar esta opción y controlar su puerto de escucha (por defecto, 8821).
Para crear un canal seguro, los GroundRunner también trabajan con un servidor proxy corporativo dirigido por el departamento informático de tu empresa para comunicarse con el servicio anfitrión.
Seguridad de la capa de la base de datos
Los servidores de las bases de datos están alojados en subredes privadas. No se puede acceder a estas bases de datos directamente desde la Internet pública Todas las conexiones a bases de datos están protegidas con contraseña, y solo se puede acceder a los puertos necesarios. Para evitar la pérdida de datos, las bases de datos son altamente redundantes y están distribuidas en múltiples centros de datos.
Se realizan copias de seguridad diarias de las bases de datos. Estas instantáneas se almacenan en Amazon Simple Storage Service (S3) con un nivel de cifrado de AES-256 y en varias zonas de disponibilidad para garantizar una capa adicional de redundancia segura.
Gestión de datos y metadatos
Para describir y proporcionar información sobre los datos, el servicio anfitrión almacena estos metadatos con un nivel de cifrado AES-256:
- Diseña metadatos, como la configuración de espacios de trabajo, cadenas y tareas.
- Auditorías de metadatos, como el historial de cambios de cualquier componente, incluidos los Espacios de trabajo, Cadenas, Recursos de archivos y Horarios.
- Metadatos de tiempo de ejecución, como el historial de ejecución de cadenas y tareas y cualquier registro producido por el servidor, CloudRunner o GroundRunners.
CloudRunner y GroundRunner realizan toda la transmisión de datos y se interconectan directamente con:
- La plataforma Workiva
- Aplicaciones en la nube como Anaplan®, Salesforce®, Oracle® EPM Cloud y Tableau®.
- Aplicaciones locales como Oracle® Hyperion o SQL Server® a través de sus API nativas
Una cadena puede incluir una tarea que produzca un archivo plano de montaje efímero conocido como Resultado.
- Si el CloudRunner genera el Resultado, éste se almacena con un nivel de cifrado de AES-256 en un volumen de AWS Elastic File System (EFS).
- Si un GroundRunner genera el Resultado, éste se almacena efímeramente en el sistema de archivos del host, que determina el nivel de encriptación.
Los archivos adjuntos al flujo de trabajo son efímeros y desaparecen después de completar el flujo de trabajo. Para conservar un archivo asociado a un flujo de trabajo, guárdalo en un sistema de archivos local o en una unidad en la nube como Google® Drive o BOX®.
Los archivos confidenciales -como los recursos cargados para un espacio de trabajo o conector- se cifran mediante el cifrado HashiCorp Vault Transit y se almacenan cifrados en Amazon Simple Storage Service (S3). Los Campos de texto sensibles -como las credenciales de autenticación introducidas como propiedad de un conector- se almacenan como Secretos de Bóveda de HashiCorp cifrados en Amazon DynamoDB®. Para almacenar la clave maestra, tanto Vault Transit como Vault Secrets/KV Store utilizan el sello awskms.