Para integrar e automatizar os aplicativos na nuvem e no local, as cadeias aproveitam a segurança do Amazon® Web Services (AWS) e uma arquitetura iPaaS para estar em conformidade com padrões abrangentes de arquitetura corporativa e políticas rigorosas de segurança de TI. Cada camada da arquitetura do Construtor de Cadeia protege os dados do cliente e:
- Fornece controle de acesso aos sistemas sensíveis com os quais faz interface
- Atende aos requisitos da arquitetura moderna
- É compatível com SOC1 e SOC2
- Frequentemente excede as certificações de nuvem exigidas
Arquitetura de referência
Você cria cadeias com segurança pelo protocolo HTTPS (TLS 1.3 ou superior) por meio de dispositivos habilitados para Web e dispositivos móveis. O aplicativo principal é executado no serviço host, um banco de dados habilitado para AES (Advanced Encryption Standard) que abriga com segurança metadados e uma fila para gerenciar a comunicação e a execução de tarefas nos agentes de serviço remotos CloudRunner e GroundRunner.
Em resumo, a arquitetura do construtor de correntes inclui:
- A interface de usuário segura baseada em navegador para executar e administrar integrações.
- O serviço central multilocatário hospedado no Amazon Web Services (AWS)
- Agentes de execução remotos do CloudRunner e do GroundRunner para fazer interface com aplicativos na nuvem e no local
GroundRunners e CloudRunners
Os agentes de execução, conhecidos como GroundRunners, são hospedados no local e fazem interface com aplicativos dentro e fora da rede do cliente. GroundRunners:
- Ter uma pegada de recursos leve.
- Suporte aos sistemas operacionais Microsoft Windows®, Linux®, macOS® e Oracle Solaris® em recursos de computação físicos e virtuais.
- Execute todas as tarefas de automação e integração necessárias, desde a execução de um simples comando do sistema operacional até operações de aplicativos nativos, como carregamento ou recuperação de dados.
Para acessar um sistema local, você deve hospedar um GroundRunner em um ambiente operacional que possa acessar o serviço de host.
Se você não precisar de acesso a um sistema local, o CloudRunner padrão hospedado pela Workiva executará as tarefas de integração.
| Considerações sobre a implantação | GroundRunner | CloudRunner |
|---|---|---|
| Instalação | Requer a instalação em um ambiente de computação dentro do firewall corporativo que possa fazer interface com o serviço de host externo por meio da porta 443. Saiba mais | Nenhum |
| Sistema operacional | Microsoft Windows, Linux, Oracle Solaris ou macOS. Os executáveis são executados como um serviço e precisam ser iniciados em uma conta de serviço específica com os privilégios apropriados para o sistema operacional ou outros recursos compartilhados. | Não se aplica |
| Responsabilidade pelo serviço | Sua organização é responsável por hospedar, gerenciar e instalar o GroundRunners | O CloudRunner padrão, fornecido como parte do Construtor de Cadeia, é de responsabilidade da Workiva |
| Fluxo de dados | Com o uso de um GroundRunner, seus dados não são transmitidos pelo serviço de host | Quando o CloudRunner faz interface direta com uma tecnologia de nuvem compatível, ele transmite dados por meio do serviço de host |
| Integração no local e na nuvem | Integração total e perfeita com aplicativos no local e na nuvem | Integração apenas entre aplicativos em nuvem |
| Uso nativo das APIs publicadas dos aplicativos | Dependendo do sistema local, as conexões aproveitam diferentes interfaces de programação de aplicativos (APIs). Para tecnologias de nuvem, as conexões usam somente APIs REST publicadas que transmitem dados com segurança via HTTPS (TLS 1.3). | As conexões usam apenas APIs REST publicadas que transmitem dados de forma segura via HTTPS (TLS 1.3) |
Os GroundRunners verificam periodicamente se há novas atualizações. Quando um GroundRunner detecta uma atualização, ele faz o download automático dos novos binários usando a rigorosa camada de transporte seguro. Como alternativa, você pode fazer download e implementar binários manualmente. Para evitar ataques do tipo man-in-the-middle, os novos binários são assinados e criptografados.
Segurança de rede
O Construtor de Cadeia está hospedado no AWS, e sua rede opera em uma nuvem privada virtual (VPC). Esse firewall virtual permite que a Workiva controle o tráfego de e para o Construtor de Cadeia. Em um nível mais granular, os serviços do Construtor de Cadeia são hospedados em sub-redes públicas e privadas - ou blocos isolados de endereços IP - da VPC. A VPC atua como uma DMZ, portanto:
- As sub-redes públicas contêm serviços acessados diretamente pela Internet pública por meio de solicitações HTTPS em uma única porta (443).
- As sub-redes privadas impedem o tráfego público e hospedam serviços internos acessados somente por serviços dentro da VPC.
Segurança na transmissão de dados
Para garantir a segurança total da transmissão de dados entre sistemas, todo o tráfego de e para o Construtor de Cadeia é criptografado com o protocolo TLS 1.3 usando certificados de 2048 bits. Além disso, a comunicação entre aplicativos internos é criptografada para garantir que todas as transmissões sejam enviadas de uma fonte legítima.
Os GroundRunners e o CloudRunner suportam a troca direta de dados, por meio da qual os agentes podem fazer download e trocar arquivos em um canal de comunicação usando o mesmo protocolo TLS 1.3, além de um JSON Web Token (JWT). Cada GroundRunner suporta a troca direta de dados entre agentes e é configurável para ativar ou desativar essa opção e controlar sua porta de escuta (por padrão, 8821).
Para criar um canal seguro, os GroundRunners também trabalham com um servidor proxy corporativo dirigido pela TI da sua empresa para se comunicar com o serviço de host.
Segurança da camada de banco de dados
Os servidores de bancos de dados são hospedados em sub-redes privadas. Esses bancos de dados não podem ser acessados diretamente da Internet pública; somente os serviços dentro da VPC podem se conectar a eles. Todas as conexões com bancos de dados são protegidas por senha, e somente as portas necessárias são acessíveis. Para evitar a perda de dados, os bancos de dados são altamente redundantes e distribuídos em vários data centers.
O backup dos bancos de dados é feito diariamente. Esses instantâneos são armazenados no Amazon Simple Storage Service (S3) em um nível de criptografia de AES-256 e em várias zonas de disponibilidade para garantir uma camada adicional de redundância segura.
Gerenciamento de dados e metadados
Para descrever e fornecer informações sobre os dados, o serviço de host armazena esses metadados em um nível de criptografia AES-256:
- Projetar metadados, como a configuração de espaços de trabalho, cadeias e tarefas.
- Auditar metadados, como o histórico de alterações de qualquer componente, incluindo espaços de trabalho, cadeias, recursos de arquivos e agendas.
- Metadados de tempo de execução, como histórico de execução de cadeia e tarefa e quaisquer registros produzidos pelo servidor, CloudRunner ou GroundRunners.
O CloudRunner e o GroundRunner realizam toda a transmissão de dados e fazem interface direta com:
- A plataforma Workiva
- Aplicativos em nuvem, como Anaplan®, Salesforce®, Oracle® EPM Cloud e Tableau®
- Aplicativos no local, como Oracle® Hyperion ou SQL Server®, por meio de suas APIs nativas
Uma cadeia pode incluir uma tarefa que produz um arquivo simples de preparação efêmera conhecido como saída.
- Se o CloudRunner gerar a saída, ela será armazenada em um nível de criptografia de AES-256 em um volume do AWS Elastic File System (EFS).
- Se um GroundRunner gerar a saída, ela será armazenada de forma efêmera no sistema de arquivos do host, que determina o nível de criptografia.
Os anexos do fluxo de trabalho são efêmeros e desaparecem após a conclusão do fluxo de trabalho. Para preservar um arquivo associado a um fluxo de trabalho, salve-o em um sistema de arquivos local ou em uma unidade de nuvem, como o Google® Drive ou o BOX®.
Arquivos confidenciais, como recursos carregados para um espaço de trabalho ou conector, são criptografados por meio da criptografia do HashiCorp Vault Transit e armazenados de forma criptografada no Amazon Simple Storage Service (S3). Os campos de texto confidenciais, como as credenciais de autenticação inseridas como uma propriedade do conector, são armazenados como HashiCorp Vault Secrets criptografados no Amazon DynamoDB®. Para armazenar a chave mestra, tanto o Vault Transit quanto o Vault Secrets/KV Store usam o selo awskms.