Aby zintegrować i zautomatyzować aplikacje chmurowe i lokalne, łańcuchy wykorzystują zabezpieczenia Amazon® Web Services (AWS) oraz architekturę iPaaS w celu zapewnienia zgodności z kompleksowymi standardami architektury korporacyjnej i rygorystycznymi zasadami bezpieczeństwa IT. Każda warstwa architektury Chain Builder chroni dane klientów i ich bezpieczeństwo:
- Zapewnia kontrolę dostępu do wrażliwych systemów, z którymi się łączy
- Spełnia wymagania nowoczesnej architektury
- Jest zgodny z normami SOC1 i SOC2
- Często przewyższa wymagane certyfikaty chmurowe
Architektura referencyjna
Bezpiecznie budujesz łańcuchy za pośrednictwem protokołu HTTPS (TLS 1.3 lub nowszego) za pośrednictwem urządzeń internetowych i mobilnych. W ramach usługi hosta działa podstawowa aplikacja, baza danych z obsługą Advanced Encryption Standard (AES), która bezpiecznie przechowuje metadane i kolejkę do zarządzania komunikacją i wykonywaniem zadań na zdalnych agentach usług CloudRunner i GroundRunner.
Podsumowując, architektura konstruktora łańcucha obejmuje:
- Bezpieczny, oparty na przeglądarce interfejs użytkownika do uruchamiania i administrowania integracjami.
- Centralna usługa dla wielu dzierżawców hostowana w Amazon Web Services (AWS)
- Zdalne agenty wykonawcze CloudRunner i GroundRunner do łączenia się z aplikacjami w chmurze i lokalnymi
GroundRunners i CloudRunners
Agenty wykonawcze - znane jako GroundRunners - są hostowane lokalnie i łączą się z aplikacjami zarówno wewnątrz, jak i na zewnątrz sieci klienta. GroundRunners:
- Miej niewielki ślad zasobów.
- Obsługuj systemy operacyjne Microsoft Windows®, Linux®, macOS® i Oracle Solaris® na fizycznych i wirtualnych zasobach obliczeniowych.
- Wykonuj wszystkie wymagane zadania automatyzacji i integracji, od uruchamiania prostych poleceń systemu operacyjnego po natywne operacje aplikacji, takie jak ładowanie lub pobieranie danych.
Aby uzyskać dostęp do systemu lokalnego, musisz hostować GroundRunner w środowisku operacyjnym, które może uzyskać dostęp do usługi hosta.
Jeśli nie potrzebujesz dostępu do systemu lokalnego, domyślny CloudRunner hostowany przez Workiva wykonuje zadania integracji.
| Rozważania dotyczące wdrożenia | GroundRunner | CloudRunner |
|---|---|---|
| Instalacja | Wymaga instalacji w środowisku komputerowym wewnątrz firmowej zapory sieciowej, które może łączyć się z usługą hosta zewnętrznego za pośrednictwem portu 443. Dowiedz się więcej | Brak |
| System operacyjny | Microsoft Windows, Linux, Oracle Solaris lub macOS. Pliki wykonywalne działają jako usługa i muszą być uruchamiane w ramach określonego konta usługi z odpowiednimi uprawnieniami do systemu operacyjnego lub innych współdzielonych zasobów. | Nie dotyczy |
| Odpowiedzialność za usługę | Twoja organizacja jest odpowiedzialna za hosting, zarządzanie i instalację GroundRunners | Za domyślny CloudRunner - dostarczany jako część Chain Builder - odpowiada Workiva |
| Przepływ danych | Korzystając z GroundRunner, Twoje dane są nie przesyłane przez usługę hosta | Gdy CloudRunner łączy się bezpośrednio z obsługiwaną technologią chmury, przesyła dane za pośrednictwem usługi hosta |
| Integracja lokalna i w chmurze | Pełna i płynna integracja z aplikacjami lokalnymi i chmurowymi | Integracja tylko między aplikacjami w chmurze |
| Natywne korzystanie z opublikowanych interfejsów API aplikacji | W zależności od systemu lokalnego, połączenia wykorzystują różne interfejsy programowania aplikacji (API). W przypadku technologii chmurowych połączenia korzystają wyłącznie z opublikowanych interfejsów API REST, które bezpiecznie przesyłają dane za pośrednictwem protokołu HTTPS (TLS 1.3). | Połączenia korzystają wyłącznie z opublikowanych interfejsów API REST, które bezpiecznie przesyłają dane za pośrednictwem protokołu HTTPS (TLS 1.3) |
GroundRunnerzy okresowo sprawdzają dostępność nowych aktualizacji. Gdy GroundRunner wykryje aktualizację, automatycznie pobiera nowe pliki binarne przy użyciu rygorystycznej bezpiecznej warstwy transportowej. Alternatywnie, możesz pobrać i wdrożyć pliki binarne ręcznie. Aby zapobiec atakom typu man-in-the-middle, nowe pliki binarne są podpisywane i szyfrowane.
Bezpieczeństwo sieci
Chain Builder jest hostowany w AWS, a jego sieć działa w ramach wirtualnej chmury prywatnej (VPC). Ten wirtualny firewall umożliwia Workiva kontrolowanie ruchu do i z Chain Builder. Na bardziej szczegółowym poziomie usługi Chain Builder są hostowane w publicznych i prywatnych podsieciach - lub izolowanych blokach adresów IP - VPC. VPC działa jako strefa zdemilitaryzowana (DMZ):
- Podsieci publiczne zawierają usługi dostępne bezpośrednio przez publiczny Internet za pośrednictwem żądań HTTPS na jednym porcie (443).
- Podsieci prywatne uniemożliwiają ruch publiczny i obsługują usługi wewnętrzne dostępne tylko dla usług w ramach VPC.
Bezpieczeństwo transmisji danych
Aby zapewnić pełne bezpieczeństwo transmisji danych między systemami, cały ruch do i z Chain Builder jest szyfrowany protokołem TLS 1.3 przy użyciu 2048-bitowych certyfikatów. Ponadto komunikacja między aplikacjami wewnętrznymi jest szyfrowana, aby zapewnić, że wszystkie transmisje są wysyłane z legalnego źródła.
GroundRunner i CloudRunner obsługują bezpośrednią wymianę danych, dzięki czemu agenci mogą pobierać i wymieniać pliki za pośrednictwem kanału komunikacyjnego przy użyciu tego samego protokołu TLS 1.3 oprócz JSON Web Token (JWT). Każdy GroundRunner obsługuje bezpośrednią wymianę danych między agentami i jest konfigurowalny, aby włączyć lub wyłączyć tę opcję i kontrolować port nasłuchiwania (domyślnie 8821).
Aby utworzyć bezpieczny kanał, GroundRunners współpracuje również z korporacyjnym serwerem proxy kierowanym przez Twój firmowy dział IT w celu komunikacji z usługą hosta.
Bezpieczeństwo warstwy bazy danych
Serwery baz danych są hostowane w prywatnych podsieciach. Dostęp do tych baz danych nie jest możliwy bezpośrednio z publicznego Internetu; tylko usługi w ramach VPC mogą się z nimi łączyć. Wszystkie połączenia z bazami danych są chronione hasłem i dostępne są tylko niezbędne porty. Aby zapobiec utracie danych, bazy danych są wysoce redundantne i rozproszone w wielu centrach danych.
Kopie zapasowe baz danych są tworzone codziennie. Migawki te są przechowywane w usłudze Amazon Simple Storage Service (S3) na poziomie szyfrowania AES-256 i w wielu strefach dostępności, aby zapewnić dodatkową warstwę bezpiecznej redundancji.
Zarządzanie danymi i metadanymi
Aby opisać i dostarczyć informacje o danych, usługa hosta przechowuje te metadane na poziomie szyfrowania AES-256:
- Projektuj metadane, takie jak konfiguracja obszarów roboczych, łańcuchów i zadań.
- Metadane audytu, takie jak historia zmian dla dowolnego komponentu, w tym obszarów roboczych, łańcuchów, zasobów plików i harmonogramów.
- Metadane środowiska uruchomieniowego, takie jak historia uruchomień łańcucha i zadania oraz wszelkie dzienniki utworzone przez serwer, CloudRunner lub GroundRunners.
CloudRunner i GroundRunner wykonują całą transmisję danych i łączą się bezpośrednio z:
- Platforma Workiva
- Aplikacje w chmurze, takie jak Anaplan®, Salesforce®, Oracle® EPM Cloud i Tableau®
- Aplikacje lokalne, takie jak Oracle® Hyperion lub SQL Server® za pośrednictwem ich natywnych interfejsów API
Łańcuch może zawierać zadanie, które tworzy efemeryczny plik płaski znany jako dane wyjściowe.
- Jeśli CloudRunner generuje dane wyjściowe, są one przechowywane na poziomie szyfrowania AES-256 na woluminie AWS Elastic File System (EFS).
- Jeśli GroundRunner generuje dane wyjściowe, są one efemerycznie przechowywane w systemie plików hosta, który określa poziom szyfrowania.
Załączniki przepływu pracy są efemeryczne i znikają po jego zakończeniu. Aby zachować plik powiązany z przepływem pracy, zapisz go w lokalnym systemie plików lub na dysku w chmurze, takim jak Google® Drive lub BOX®.
Wrażliwe pliki - takie jak zasoby przesłane do obszaru roboczego lub konektora - są szyfrowane za pomocą szyfrowania HashiCorp Vault Transit i przechowywane w postaci zaszyfrowanej w usłudze Amazon Simple Storage Service (S3). Wrażliwe pola tekstowe - takie jak dane uwierzytelniające wprowadzone jako właściwość konektora - są przechowywane jako zaszyfrowane sekrety skarbca HashiCorp w Amazon DynamoDB®. Do przechowywania klucza głównego zarówno Vault Transit, jak i Vault Secrets/KV Store używają plomby awskms.