Pour intégrer et automatiser les applications en nuage et sur site, les chaînes s'appuient sur Amazon® Web Services (AWS) security et sur une architecture iPaaS pour se conformer à des normes d'architecture d'entreprise complètes et à des politiques de sécurité informatique strictes. Chaque couche de l'architecture de Chain Builder protège les données des clients et.. :
- assure le contrôle d'accès aux systèmes sensibles avec lesquels il s'interface
- Répond aux exigences de l'architecture moderne
- Est conforme aux normes SOC1 et SOC2
- Dépasse souvent les certifications requises en matière d'informatique dématérialisée
Architecture de référence
Vous créez des chaînes en toute sécurité via le protocole HTTPS (TLS 1.3 ou supérieur) par l'intermédiaire de dispositifs Web et mobiles. L'application principale, une base de données AES (Advanced Encryption Standard) qui héberge en toute sécurité des métadonnées et une file d'attente pour gérer la communication et l'exécution des tâches sur les agents de service CloudRunner et GroundRunner à distance, est exécutée dans le service hôte.
En résumé, l'architecture du constructeur de chaînes comprend :
- L'interface utilisateur sécurisée basée sur un navigateur pour exécuter et administrer les intégrations.
- Le service central multi-locataires hébergé par Amazon Web Services (AWS)
- Agents d'exécution CloudRunner et GroundRunner à distance pour interfacer avec les applications en nuage et sur site.
GroundRunners et CloudRunners
Les agents d'exécution, appelés GroundRunners, sont hébergés sur place et s'interfacent avec des applications à l'intérieur et à l'extérieur d'un réseau de clients. Les coureurs de fond :
- Avoir une empreinte légère sur les ressources.
- Prise en charge des systèmes d'exploitation Microsoft Windows®, Linux®, macOS® et Oracle Solaris® sur des ressources informatiques physiques et virtuelles.
- Effectuer toutes les tâches d'automatisation et d'intégration requises, depuis l'exécution d'une simple commande du système d'exploitation jusqu'aux opérations des applications natives telles que le chargement ou l'extraction de données.
Pour accéder à un système sur site, vous devez héberger un GroundRunner sur un environnement d'exploitation qui peut accéder au service hôte.
Si vous n'avez pas besoin d'accéder à un système sur site, le CloudRunner par défaut hébergé par Workiva exécute les tâches d'intégration.
| Considérations relatives au déploiement | GroundRunner | CloudRunner |
|---|---|---|
| Installation | Nécessite une installation sur un environnement informatique à l'intérieur du pare-feu de votre entreprise qui peut s'interfacer avec le service hôte externe via le port 443. En savoir plus | Aucune |
| Système d'exploitation | Microsoft Windows, Linux, Oracle Solaris ou macOS. Les exécutables fonctionnent comme un service et doivent être lancés sous un compte de service particulier disposant des privilèges appropriés pour le système d'exploitation ou d'autres ressources partagées. | Non applicable |
| Responsabilité du service | Votre organisation est responsable de l'hébergement, de la gestion et de l'installation des GroundRunners. | Le CloudRunner par défaut - fourni dans le cadre de Chain Builder - relève de la responsabilité de Workiva. |
| Flux de données | Avec l'utilisation d'un GroundRunner, vos données sont et non transmises par le service hôte. | Lorsque le CloudRunner s'interface directement avec une technologie en nuage prise en charge, il transmet les données par l'intermédiaire du service hôte |
| Intégration sur site et dans le nuage | Intégration complète et transparente avec les applications sur site et en nuage | Intégration uniquement entre les applications en nuage |
| Utilisation native des API publiées par les applications | Selon le système en place, les connexions utilisent différentes interfaces de programmation d'applications (API). Pour les technologies en nuage, les connexions utilisent uniquement des API REST publiées qui transmettent les données en toute sécurité via HTTPS (TLS 1.3). | Les connexions n'utilisent que des API REST publiées qui transmettent les données en toute sécurité via HTTPS (TLS 1.3). |
Les GroundRunners vérifient périodiquement s'il existe de nouvelles mises à jour. Lorsqu'un GroundRunner détecte une mise à niveau, il télécharge automatiquement les nouveaux binaires à l'aide de la couche de transport sécurisée rigoureuse. Vous pouvez également télécharger et déployer les binaires manuellement. Pour éviter les attaques de type "man-in-the-middle", les nouveaux binaires sont signés et cryptés.
Sécurité des réseaux
Chain Builder est hébergé sur AWS, et son réseau fonctionne dans un nuage privé virtuel (VPC). Ce pare-feu virtuel permet à Workiva de contrôler le trafic en provenance et à destination de Chain Builder. À un niveau plus granulaire, les services de Chain Builder sont hébergés dans des sous-réseaux publics et privés - ou des blocs isolés d'adresses IP - du VPC. Le VPC agit comme une zone démilitarisée (DMZ) :
- Les sous-réseaux publics contiennent des services accessibles directement via l'internet public par des requêtes HTTPS sur un seul port (443).
- Les sous-réseaux privés empêchent le trafic public et hébergent des services internes auxquels seuls les services du VPC ont accès.
Sécurité de la transmission des données
Pour garantir la sécurité totale de la transmission des données entre les systèmes, tout le trafic vers et depuis Chain Builder est crypté avec le protocole TLS 1.3 à l'aide de certificats de 2048 bits. En outre, les communications entre les applications internes sont cryptées afin de garantir que toutes les transmissions proviennent d'une source légitime.
Les GroundRunners et les CloudRunners prennent en charge l'échange direct de données, ce qui permet aux agents de télécharger et d'échanger des fichiers sur un canal de communication utilisant le même protocole TLS 1.3 en plus d'un jeton Web JSON (JWT). Chaque GroundRunner prend en charge l'échange direct de données d'agent à agent et peut être configuré pour activer ou désactiver cette option et contrôler son port d'écoute (par défaut, 8821).
Pour créer un canal sécurisé, les GroundRunners travaillent également avec un serveur proxy d'entreprise dirigé par votre service informatique d'entreprise pour communiquer avec le service hôte.
Sécurité de la couche base de données
Les serveurs de bases de données sont hébergés dans des sous-réseaux privés. Ces bases de données ne sont pas accessibles directement depuis l'internet public ; seuls les services du VPC peuvent s'y connecter. Toutes les connexions aux bases de données sont protégées par un mot de passe et seuls les ports nécessaires sont accessibles. Pour éviter toute perte de données, les bases de données sont hautement redondantes et réparties entre plusieurs centres de données.
Les bases de données sont sauvegardées quotidiennement. Ces instantanés sont stockés dans Amazon Simple Storage Service (S3) à un niveau de cryptage AES-256 et dans plusieurs zones de disponibilité afin de garantir une couche supplémentaire de redondance sécurisée.
Gestion des données et des métadonnées
Pour décrire et fournir des informations sur les données, le service hôte stocke ces métadonnées à un niveau de cryptage AES-256 :
- Concevoir des métadonnées, telles que la configuration des espaces de travail, des chaînes et des tâches.
- Auditer les métadonnées, telles que l'historique des modifications pour n'importe quel composant, y compris les espaces de travail, les chaînes, les ressources de fichiers et les planifications.
- Métadonnées d'exécution, telles que l'historique de l'exécution des chaînes et des tâches et tous les journaux produits par le serveur, le CloudRunner ou les GroundRunners.
Le CloudRunner et le GroundRunner effectuent toutes les transmissions de données et s'interfacent directement avec :
- La plateforme Workiva
- Applications en nuage telles que Anaplan®, Salesforce®, Oracle® EPM Cloud et Tableau®.
- Applications sur site telles que Oracle® Hyperion ou SQL Server® via leurs API natives
Une chaîne peut inclure une tâche qui produit un fichier plat éphémère appelé sortie.
- Si le CloudRunner génère la sortie, celle-ci est stockée à un niveau de cryptage AES-256 sur un volume AWS Elastic File System (EFS).
- Si un GroundRunner génère la sortie, celle-ci est stockée de manière éphémère sur le système de fichiers de l'hôte, qui détermine le niveau de cryptage.
Les pièces jointes au flux de travail sont éphémères et disparaissent une fois le flux de travail terminé. Pour conserver un fichier associé à un flux de travail, enregistrez-le dans un système de fichiers sur site ou dans un lecteur en nuage tel que Google® Drive ou BOX®.
Les fichiers sensibles, tels que les ressources téléchargées pour un espace de travail ou un connecteur, sont cryptés via le cryptage HashiCorp Vault Transit et stockés de manière cryptée dans Amazon Simple Storage Service (S3). Les champs de texte sensibles, tels que les informations d'authentification saisies en tant que propriété de connecteur, sont stockés en tant que secrets cryptés HashiCorp Vault dans Amazon DynamoDB®. Pour stocker la clé principale, Vault Transit et Vault Secrets/KV Store utilisent tous deux le sceau awskms.