Per integrare e automatizzare le applicazioni cloud e on-premise, le catene sfruttano la sicurezza di Amazon® Web Services (AWS) e un'architettura iPaaS conforme a standard di architettura aziendale completi e a rigorosi criteri di sicurezza IT. Ogni livello dell'architettura di Builder catene protegge i dati dei clienti e:
- Garantisce il controllo degli accessi ai sistemi sensibili con cui si interfaccia
- Risponde alle esigenze dell'architettura moderna
- È conforme ai requisiti SOC1 e SOC2
- Spesso supera le certificazioni cloud richieste
Architettura di riferimento
Puoi creare catene in modo sicuro tramite il protocollo HTTPS (TLS 1.3 o superiore) attraverso dispositivi web e mobili. All'interno del servizio host è in esecuzione l'applicazione principale, un database abilitato all'Advanced Encryption Standard (AES) che ospita in modo sicuro i metadati e una coda per gestire la comunicazione e l'esecuzione dei task sugli agenti di servizio remoti CloudRunner e GroundRunner.
In sintesi, l'architettura di Builder catene comprende:
- L'interfaccia utente sicura basata su browser per eseguire e amministrare le integrazioni.
- Il servizio centrale multi-tenant ospitato in Amazon Web Services (AWS)
- Agenti di esecuzione CloudRunner e GroundRunner remoti per interfacciarsi con le applicazioni cloud e on-premise
GroundRunner e CloudRunner
Gli agenti di esecuzione, noti come GroundRunner, sono ospitati in sede e si interfacciano con le applicazioni sia all'interno che all'esterno della rete del cliente. GroundRunner:
- Hanno un'impronta leggera sulle risorse.
- Supporta i sistemi operativi Microsoft Windows®, Linux®, macOS® e Oracle Solaris® su risorse informatiche fisiche e virtuali.
- Esegui tutte le attività di automazione e integrazione richieste, dall'esecuzione di un semplice comando del sistema operativo alle operazioni di un'applicazione nativa come il caricamento o il recupero dei dati.
Per accedere a un sistema on-premise, devi ospitare un GroundRunner su un ambiente operativo che possa accedere al servizio host.
Se non hai bisogno di accedere a un sistema on-premise, il CloudRunner predefinito ospitato da Workiva esegue le attività di integrazione.
| Considerazioni sulla distribuzione | GroundRunner | CloudRunner |
|---|---|---|
| Installazione | Richiede l'installazione su un ambiente informatico all'interno del firewall aziendale che possa interfacciarsi con il servizio host esterno tramite la porta 443. Ulteriori informazioni | Nessuno |
| Sistema operativo | Microsoft Windows, Linux, Oracle Solaris o macOS. Gli eseguibili vengono eseguiti come servizio e devono essere avviati con un particolare account di servizio con i privilegi appropriati al sistema operativo o ad altre risorse condivise. | Non applicabile |
| Responsabilità del servizio | La tua organizzazione è responsabile dell'hosting, della gestione e dell'installazione di GroundRunner | Il CloudRunner predefinito, fornito come parte di Builder catene, è responsabilità di Workiva |
| Flusso di dati | Con l'utilizzo di un GroundRunner, i tuoi dati non vengono trasmessi attraverso il servizio host | Quando CloudRunner si interfaccia direttamente con una tecnologia cloud supportata, trasmette i dati attraverso il servizio host |
| Integrazione on-premise e cloud | Integrazione completa e senza soluzione di continuità con le applicazioni on-premise e cloud | Integrazione solo tra applicazioni cloud |
| Uso nativo delle API pubblicate dalle applicazioni | A seconda del sistema on-premise, le connessioni sfruttano diverse interfacce di programmazione delle applicazioni (API). Per le tecnologie cloud, le connessioni utilizzano solo API REST pubblicate che trasmettono i dati in modo sicuro tramite HTTPS (TLS 1.3). | Le connessioni utilizzano solo API REST pubblicate che trasmettono i dati in modo sicuro tramite HTTPS (TLS 1.3) |
I GroundRunner controllano periodicamente la presenza di nuovi aggiornamenti. Quando un GroundRunner rileva un aggiornamento, scarica automaticamente i nuovi binari utilizzando il rigoroso livello di trasporto sicuro. In alternativa, puoi scaricare e distribuire i binari manualmente. Per prevenire gli attacchi man-in-the-middle, i nuovi binari vengono firmati e crittografati.
Sicurezza della rete
Builder catene è ospitato su AWS e la sua rete opera all'interno di un Virtual Private Cloud (VPC). Questo firewall virtuale permette a Workiva di controllare il traffico da e verso Builder catene. A un livello più granulare, i servizi di Builder catene sono ospitati all'interno di sottoreti pubbliche e private (o blocchi isolati di indirizzi IP) del VPC. Il VPC agisce come DMZ, per cui:
- Le sottoreti pubbliche contengono servizi a cui si accede direttamente tramite Internet tramite richieste HTTPS su un'unica porta (443).
- Le sottoreti private impediscono il traffico pubblico e ospitano servizi interni a cui possono accedere solo i servizi all'interno di VPC.
Sicurezza della trasmissione dei dati
Per garantire la completa sicurezza della trasmissione dei dati tra i sistemi, tutto il traffico da e verso Builder catene viene crittografato con il protocollo TLS 1.3 utilizzando certificati a 2048 bit. Inoltre, le comunicazioni tra le applicazioni interne sono criptate per garantire che tutte le trasmissioni provengano da una fonte legittima.
I GroundRunner e i CloudRunner supportano lo scambio diretto di dati, per cui gli agenti possono scaricare e scambiare file su un canale di comunicazione che utilizza lo stesso protocollo TLS 1.3 oltre a un JSON Web Token (JWT). Ogni GroundRunner supporta lo scambio diretto di dati da agente ad agente ed è configurabile per abilitare o disabilitare questa opzione e controllare la sua porta di ascolto (per impostazione predefinita, 8821).
Per creare un canale sicuro, i GroundRunner lavorano anche con un server proxy aziendale diretto dall'IT aziendale per comunicare con il servizio host.
Sicurezza a livello di database
I server dei database sono ospitati all'interno di sottoreti private. Questi database non sono accessibili direttamente dalla rete Internet pubblica; solo i servizi all'interno di VPC possono collegarsi ad essi. Tutte le connessioni ai database sono protette da password e solo le porte necessarie sono accessibili. Per evitare la perdita di dati, i database sono altamente ridondanti e distribuiti su più data center.
I database vengono sottoposti a backup giornaliero. Queste istantanee sono archiviate in Amazon Simple Storage Service (S3) con un livello di crittografia AES-256 e in più zone di disponibilità per garantire un ulteriore livello di ridondanza sicura.
Gestione dei dati e dei metadati
Per descrivere e fornire informazioni sui dati, il servizio host memorizza questi metadati con un livello di crittografia AES-256:
- Progettare i metadati, come la configurazione di workspace, catene e attività.
- Controlla i metadati, come la cronologia delle modifiche per qualsiasi componente, compresi i workspace, le catene, le risorse di file e le pianificazioni.
- Metadati di runtime, come la cronologia delle catene e dei task e qualsiasi registro prodotto dal server, dal CloudRunner o dai GroundRunner.
Il CloudRunner e il GroundRunner eseguono la trasmissione dei dati e si interfacciano direttamente con:
- La piattaforma Workiva
- Applicazioni cloud come Anaplan®, Salesforce®, Oracle® EPM Cloud e Tableau®
- Applicazioni on-premise come Oracle® Hyperion o SQL Server® tramite le loro API native
Una catena può includere un'attività che produce un file piatto di staging effimero, noto come output.
- Se il CloudRunner genera l'output, questo viene memorizzato con un livello di crittografia AES-256 su un volume AWS Elastic File System (EFS).
- Se un GroundRunner genera l'output, questo viene memorizzato in modo effimero sul file system dell'host, che determina il livello di crittografia.
Gli allegati al flusso di lavoro sono effimeri e scompaiono al termine del flusso di lavoro. Per conservare un file associato a un flusso di lavoro, salvalo in un file system on-premise o in un'unità cloud come Google® Drive o BOX®.
I file sensibili, come le risorse caricate per un workspace o un connettore, vengono crittografati tramite la crittografia HashiCorp Vault Transit e archiviati in modo criptato in Amazon Simple Storage Service (S3). I campi di testo sensibili, come le credenziali di autenticazione inserite come proprietà del connettore, vengono memorizzati come HashiCorp Vault Secrets crittografati in Amazon DynamoDB®. Per conservare la chiave master, sia Vault Transit che Vault Secrets/KV Store utilizzano il sigillo awskms.