Workiva サポートセンター

クラウドとオンプレミスのアプリケーションを統合し自動化するために、チェーンはAmazon® Web Services (AWS) セキュリティ と iPaaS アーキテクチャを活用し、包括的なエンタープライズアーキテクチャ標準と厳格な IT セキュリティポリシーに準拠しています。チェーンビルダーのdevice_hub アーキテクチャの各レイヤーは、クライアントのデータを保護し、次のことを行います：

• インターフェースとなる機密システムへのアクセス管理を提供
• 現代のアーキテクチャ要件に対応
• SOC1およびSOC2に準拠
• 多くの場合、クラウド証明の要件を超える内容

アーキテクチャを参照する

HTTPS（TLS 1.3以上）プロトコルを介して、ウェブやモバイル対応デバイスから安全にチェーンを構築できます。ホストサービス内で実行されているのは、主要なアプリケーションであるAdvanced Encryption Standard（AES）対応のデータベースです。このデータベースには、リモートのCloudRunnerおよびGroundRunnerの2つのサービスエージェント間での通信とタスク実行を管理するためのメタデータとキューが安全に格納されています。 

要約すると、チェーンビルダーのアーキテクチャには次のものが含まれます。

• 統合を実行および管理するための、ブラウザベースの安全なユーザーインターフェース。
• アマゾンウェブサービス（AWS）でホストされている中央マルチテナントサービス
• クラウドおよびオンプレミスのアプリケーションとインターフェースするためのリモートのCloudRunnerおよびGroundRunner実行エージェント

GroundRunnersとCloudRunners

GroundRunnersとして知られる実行エージェントはオンプレミスでホストされ、クライアントネットワークの内部および外部の両方のアプリケーションとインターフェースします。GroundRunners:

• リソースのフットプリントが軽い。
• 物理および仮想コンピューティングリソース上でMicrosoft Windows®、Linux®、macOS®、Oracle Solaris®オペレーティングシステムをサポートします。 
• 単純なオペレーティングシステムコマンドの実行から、データの読み込みや取得などのネイティブアプリケーション操作まで、必要とされる自動化および統合タスクをすべて実行します。

オンプレミスシステムにアクセスするには、ホストサービスにアクセスできるオペレーティング環境でGroundRunnerをホストする必要があります。 

オンプレミスシステムへのアクセスが不要な場合、WorkivaがホストするデフォルトのCloudRunnerが統合タスクを実行します。  

GroundRunnerは定期的に新しいアップグレードをチェックします。GroundRunnerがアップグレードを検出すると、厳格なセキュアトランスポートレイヤーを使用して新しいバイナリを自動的にダウンロードします。あるいは、手動でバイナリをダウンロードしてデプロイすることもできる。中間者攻撃を防ぐため、新しいバイナリは署名され暗号化されます。

ネットワークセキュリティ

チェーンビルダーはAWS上でホストされており、そのネットワークはVirtual Private Cloud（VPC）内で運用されています。この仮想ファイアウォールにより、Workiva はチェーンビルダーとの間のトラフィックをコントロールできる。より詳細なレベルでは、チェーンビルダーのサービスはVPCのパブリックサブネットとプライベートサブネット、つまりIPアドレスの分離されたブロック内でホストされます。VPCはDMZとして機能します：

• パブリックサブネットには、単一のポート（443）でHTTPSリクエストを介してパブリックインターネット経由で直接アクセスされるサービスが含まれています。
• プライベートサブネットはパブリックトラフィックを防止し、VPC内のサービスによってのみアクセスされる内部サービスをホストする。 

データ転送のセキュリティ

システム間のデータ伝送の完全なセキュリティを確保するため、チェーンビルダーとの間のトラフィックはすべて、2048 ビットの証明書を使用して TLS 1.3 プロトコルで暗号化されています。さらに、内部アプリケーション間の通信は暗号化され、すべての送信が正当なソースから送信されたものであることを保証します。

GroundRunnerとCloudRunnerはデータの直接交換をサポートしており、エージェントはJSON Web Token (JWT)に加え、同じTLS 1.3プロトコルを使用して通信チャネル上でファイルをダウンロードし、交換することができます。各GroundRunnerは、エージェント間の直接データ交換をサポートしており、このオプションを有効または無効にし、リスニングポート（デフォルトでは8821）をコントロールするように構成可能です。 

GroundRunnersはまた、安全なチャネルを作成するために、企業のIT部門によって指示された企業のプロキシサーバーと連携し、ホストサービスと通信します。 

データベース層のセキュリティ

データベースサーバーはプライベートサブネット内でホストされます。これらのデータベースには、公共のインターネットから直接アクセスできません。 VPC 内のサービスのみがそれらに接続できます。データベースへの接続はすべてパスワードで保護され、必要なポートだけにアクセスできます。データ損失を防ぐため、データベースは高度に冗長化され、複数のデータセンターに分散されています。

データベースは毎日バックアップされます。これらのスナップショットは、AES-256の暗号化レベルでAmazon Simple Storage Service（S3）に保存され、安全な冗長性の追加レイヤーを確保するために複数のアベイラビリティゾーンにまたがる。 

データとメタデータの管理

データに関する情報を記述および提供するために、ホストサービスはこのメタデータをAES-256の暗号化レベルで保存します。

• メタデータを設計：ワークスペース、チェーン、タスクの構成など。
• 監査メタデータ：ワークスペース、チェーン、ファイルリソース、スケジュールなど、コンポネントの変更履歴など。
• 実行時メタデータ：チェーンやタスクの実行履歴、サーバー、CloudRunner、GroundRunnersによって生成されたログなど。

CloudRunnerとGroundRunnersは、すべてのデータ伝送とインターフェースを以下に直接実行します。

• Workivaプラットフォーム
• Anaplan®、Salesforce®、Oracle®EPM Cloud、Tableau®などのクラウドアプリケーション
• ネイティブAPIを介したOracle® HyperionやSQL Server®などのオンプレミスアプリケーション

チェーンには、出力と呼ばれる一時的なステージングフラットファイルを作成するタスクを含めることができます。

• CloudRunnerが出力を生成する場合、それはAWSエラスティックファイルシステム（EFS）ボリュームにAES-256の暗号化レベルで保存されます。
• GroundRunnerが出力を生成する場合、暗号化レベルを決定するホストのファイルシステムに一時的に保存されます。 

ワークフローの添付ファイルは一時的なもので、ワークフローが完了すると消えてしまいます。ワークフローに関連するファイルを保存するには、オンプレミスのファイルシステム、またはGoogle®ドライブやBOX®などのクラウドドライブに保存します。

ワークスペースやコネクターにアップロードされたリソースなどの機密性の高いファイルは、HashiCorp Vault Transit暗号化により暗号化され、Amazon Simple Storage Service（S3）に暗号化されて保存されます。コネクターのプロパティとして入力された認証情報など、機密性の高いテキストフィールドは、暗号化されたHashiCorp Vault SecretsとしてAmazon DynamoDB®に保存されます。マスターキーの保管には、Vault TransitとVault Secrets/KV Storeの両方でawskmsシールを使用します。