For å integrere og automatisere skybaserte og lokale applikasjoner benytter kjedene Amazon® Web Services (AWS) sikkerhet og en iPaaS-arkitektur som er i samsvar med omfattende standarder for bedriftsarkitektur og strenge IT-sikkerhetsretningslinjer. Hvert lag i Chain Builders -arkitektur beskytter klientdata og:
- Gir tilgangskontroll til de sensitive systemene den har grensesnitt mot
- Imøtekommer kravene til moderne arkitektur
- Er SOC1- og SOC2-kompatibel
- Overgår ofte nødvendige skysertifiseringer
Referansearkitektur
Du kan bygge kjeder på en sikker måte via HTTPS-protokollen (TLS 1.3 eller høyere) på nett- og mobilaktiverte enheter. I vertstjenesten kjører den primære applikasjonen, en AES-aktivert database (Advanced Encryption Standard) som på en sikker måte inneholder metadata og en kø for å administrere kommunikasjon og oppgaveutførelse på eksterne CloudRunner- og GroundRunner -tjenesteagenter.
Kort oppsummert omfatter kjedebyggerens arkitektur
- Det sikre nettleserbaserte brukergrensesnittet for å kjøre og administrere integrasjoner.
- Den sentrale tjenesten med flere leietakere ligger hos Amazon Web Services (AWS)
- Eksterne CloudRunner- og GroundRunner-kjøringsagenter for grensesnitt mot skybaserte og lokale applikasjoner
GroundRunners og CloudRunners
Kjøringsagentene - kjent som GroundRunners - er plassert lokalt og har grensesnitt mot applikasjoner både i og utenfor et klientnettverk. GroundRunners:
- Har et lite ressursavtrykk.
- Støtte for operativsystemene Microsoft Windows®, Linux®, macOS® og Oracle Solaris® på fysiske og virtuelle databehandlingsressurser.
- Utfør alle nødvendige automatiserings- og integrasjonsoppgaver, fra å kjøre en enkel operativsystemkommando til opprinnelige programoperasjoner som lasting eller henting av data.
For å få tilgang til et lokalt system må du være vert for en GroundRunner i et driftsmiljø som har tilgang til vertstjenesten.
Hvis du ikke trenger tilgang til et lokalt system, utføres integrasjonsoppgavene av standard CloudRunner som Workiva er vert for.
| Hensyn til distribusjon | GroundRunner | CloudRunner |
|---|---|---|
| Installasjon | Krever installasjon på et datamiljø innenfor bedriftens brannmur som kan kommunisere med den eksterne vertstjenesten via port 443. Finn ut mer | Ingen |
| Operativsystem | Microsoft Windows, Linux, Oracle Solaris eller macOS. De kjørbare programmene kjører som en tjeneste og må startes under en bestemt tjenestekonto med de riktige rettighetene til operativsystemet eller andre delte ressurser. | Ikke aktuelt |
| Ansvar for tjenesten | Organisasjonen din er ansvarlig for å hoste, administrere og installere GroundRunners | Standard CloudRunner - som leveres som en del av Chain Builder - er Workivas ansvar |
| Dataflyt | Ved bruk av en GroundRunner blir dataene dine ikke overført gjennom vertstjenesten | Når CloudRunner har direkte grensesnitt mot en støttet skyteknologi, overfører den data gjennom vertstjenesten |
| Lokal og skybasert integrasjon | Full og sømløs integrasjon med både lokale applikasjoner og skybaserte applikasjoner | Integrasjon kun mellom skyapplikasjoner |
| Innfødt bruk av applikasjoners publiserte API-er | Avhengig av det lokale systemet bruker tilkoblingene ulike programmeringsgrensesnitt (API-er). For skytjenester bruker tilkoblinger kun publiserte REST API-er som overfører data på en sikker måte via HTTPS (TLS 1.3). | Tilkoblinger bruker kun publiserte REST API-er som overfører data på en sikker måte via HTTPS (TLS 1.3) |
GroundRunners sjekker jevnlig om det finnes nye oppgraderinger. Når en GroundRunner oppdager en oppgradering, laster den automatisk ned de nye binærprogrammene ved hjelp av det strenge, sikre transportlaget. Alternativt kan du laste ned og distribuere binærfiler manuelt. For å forhindre "man-in-the-middle"-angrep signeres og krypteres nye binære filer.
Nettverkssikkerhet
Chain Builder ligger på AWS, og nettverket drives i en virtuell privat sky (VPC). Denne virtuelle brannmuren gjør det mulig for Workiva å kontrollere trafikken til og fra Chain Builder. På et mer detaljert nivå er Chain Builders tjenester plassert i offentlige og private undernett - eller isolerte blokker av IP-adresser - i VPC-en. VPC-en fungerer som en DMZ:
- De offentlige undernettene inneholder tjenester som nås direkte via det offentlige Internett via HTTPS-forespørsler på en enkelt port (443).
- De private undernettene hindrer offentlig trafikk og er vertskap for interne tjenester som bare er tilgjengelige for tjenester innenfor VPC-en.
Sikkerhet ved dataoverføring
For å sikre fullstendig sikkerhet ved dataoverføring mellom systemer krypteres all trafikk til og fra Chain Builder med TLS 1.3-protokollen ved hjelp av 2048-biters sertifikater. I tillegg krypteres kommunikasjonen mellom interne applikasjoner for å sikre at alle overføringer sendes fra en legitim kilde.
GroundRunners og CloudRunner støtter direkte datautveksling, der agenter kan laste ned og utveksle filer over en kommunikasjonskanal ved hjelp av den samme TLS 1.3-protokollen i tillegg til et JSON Web Token (JWT). Hver GroundRunner støtter direkte datautveksling mellom agenter og kan konfigureres for å aktivere eller deaktivere dette alternativet og styre lytteporten (standard er 8821).
For å skape en sikker kanal bruker GroundRunners også en proxy-server i bedriften, som styres av bedriftens IT-avdeling, for å kommunisere med vertstjenesten.
Sikkerhet i databaselaget
Databaseserverne er plassert i private undernett. Disse databasene kan ikke nås direkte fra det offentlige Internett; bare tjenester innenfor VPC-en kan koble seg til dem. Alle tilkoblinger til databaser er passordbeskyttet, og bare de nødvendige portene er tilgjengelige. For å forhindre tap av data er databasene svært redundante og fordelt på flere datasentre.
Databasene sikkerhetskopieres daglig. Disse øyeblikksbildene lagres i Amazon Simple Storage Service (S3) med et krypteringsnivå på AES-256 og på tvers av flere tilgjengelighetssoner for å sikre et ekstra lag med sikker redundans.
Håndtering av data og metadata
For å beskrive og gi informasjon om data lagrer vertstjenesten disse metadataene med et krypteringsnivå på AES-256:
- Design av metadata, for eksempel konfigurasjon av arbeidsområder, kjeder og oppgaver.
- Revisjon av metadata, for eksempel endringshistorikk for alle komponenter, inkludert arbeidsområder, kjeder, filressurser og tidsplaner.
- Metadata for kjøretid, for eksempel kjede- og oppgavekjøringshistorikk og eventuelle logger produsert av serveren, CloudRunner eller GroundRunners.
CloudRunner og GroundRunners utfører all dataoverføring og har direkte grensesnitt mot:
- Workiva-plattformen
- Skyapplikasjoner som Anaplan®, Salesforce®, Oracle® EPM Cloud og Tableau®
- Lokale applikasjoner som Oracle® Hyperion eller SQL Server® via deres egne API-er
En kjede kan inneholde en oppgave som produserer en kortvarig flatfil som kalles en output.
- Hvis CloudRunner genererer utdata, lagres de med et krypteringsnivå på AES-256 på et AWS Elastic File System (EFS-volum).
- Hvis en GroundRunner genererer utdata, lagres de kortvarig på filsystemet til verten, som bestemmer krypteringsnivået.
Arbeidsflytvedlegg er kortvarige og forsvinner etter at arbeidsflyten er fullført. Hvis du vil bevare en fil som er knyttet til en arbeidsflyt, kan du lagre den i et lokalt filsystem eller på en skystasjon, for eksempel Google® Drive eller BOX®.
Sensitive filer - for eksempel ressurser som lastes opp for et arbeidsområde eller en kontakt - krypteres via HashiCorp Vault Transit-kryptering og lagres kryptert i Amazon Simple Storage Service (S3). Sensitive tekstfelt - for eksempel autentiseringsinformasjon som er angitt som en koblingsegenskap - lagres som krypterte HashiCorp Vault Secrets i Amazon DynamoDB®. Både Vault Transit og Vault Secrets/KV Store bruker awskms forsegling for å oppbevare hovednøkkelen.