För att integrera och automatisera molnbaserade och lokala applikationer använder kedjorna Amazon® Web Services (AWS) säkerhet och en iPaaS-arkitektur för att följa omfattande standarder för företagsarkitektur och strikta IT-säkerhetspolicyer. Varje lager i Chain Builder's arkitektur skyddar kunddata och:
- Ger åtkomstkontroll till de känsliga system som den har gränssnitt mot
- Uppfyller kraven för modern arkitektur
- Är SOC1- och SOC2-kompatibel
- Överträffar ofta nödvändiga molncertifieringar
Referensarkitektur
Du bygger kedjor på ett säkert sätt via HTTPS-protokollet (TLS 1.3 eller högre) via webb- och mobilanpassade enheter. Inom värdtjänsten körs den primära applikationen, en AES-aktiverad (Advanced Encryption Standard) databas som på ett säkert sätt innehåller metadata och en kö för att hantera kommunikation och uppgiftsutförande på fjärr CloudRunner och GroundRunner serviceagenter.
Sammanfattningsvis omfattar kedjebyggarens arkitektur:
- Det säkra webbläsarbaserade användargränssnittet för att köra och administrera integrationer.
- Den centrala tjänsten med flera hyresgäster som finns i Amazon Web Services (AWS)
- CloudRunner- och GroundRunner-exekveringsagenter på distans för gränssnitt mot molnbaserade och lokala applikationer
GroundRunners och CloudRunners
Exekveringsagenterna - som kallas GroundRunners - finns lokalt och har gränssnitt mot applikationer både inom och utanför ett klientnätverk. GroundRunners:
- Har ett litet resursavtryck.
- Support för operativsystemen Microsoft Windows®, Linux®, macOS® och Oracle Solaris® på fysiska och virtuella datorresurser.
- Utför alla nödvändiga automatiserings- och integrationsuppgifter, från att köra ett enkelt operativsystemkommando till inbyggda programoperationer som att ladda eller hämta data.
För att få åtkomst till ett lokalt system måste du hosta en GroundRunner i en driftmiljö som kan få åtkomst till hosttjänsten.
Om du inte behöver åtkomst till ett lokalt system utför standard CloudRunner som Workiva är värd för integrationsuppgifterna.
| Överväganden om driftsättning | GroundRunner | CloudRunner |
|---|---|---|
| Installation | Kräver installation på en datormiljö innanför företagets brandvägg som kan kommunicera med den externa värdtjänsten via port 443. Läs mer | Ingen |
| Operativsystem | Microsoft Windows, Linux, Oracle Solaris eller macOS. De körbara programmen körs som en tjänst och måste startas under ett visst servicekonto med lämpliga behörigheter till operativsystemet eller andra aktieresurser. | Ej tillämpligt |
| Ansvar för service | Din organisation är ansvarig för att hosta, hantera och installera GroundRunners | Standard CloudRunner - som tillhandahålls som en del av Chain Builder - är Workivas ansvar |
| Dataflöde | Med hjälp av en GroundRunner överförs dina data inte via värdtjänsten | När CloudRunner har ett direkt gränssnitt mot en molnteknik som stöds, överförs data via värdtjänsten |
| Lokal integration och integration i molnet | Fullständig och sömlös integration med både lokala applikationer och molnapplikationer | Integration endast mellan molnapplikationer |
| Inbyggd användning av applikationers publicerade API:er | Beroende på det lokala systemet utnyttjar anslutningarna olika API:er (Application Programming Interface). För molnteknik använder anslutningar endast publicerade REST API:er som överför data på ett säkert sätt via HTTPS (TLS 1.3). | Anslutningar använder endast publicerade REST API:er som på ett säkert sätt överför data via HTTPS (TLS 1.3) |
GroundRunners kontrollerar regelbundet om det finns nya uppgraderingar. När en GroundRunner upptäcker en uppgradering laddar den automatiskt ner de nya binärerna med hjälp av det stränga säkra transportlagret. Alternativt kan du ladda ner och distribuera binärfiler manuellt. För att förhindra "man-in-the-middle"-attacker signeras och krypteras nya binärfiler.
Nätverkssäkerhet
Chain Builder är hostat på AWS och dess nätverk drivs i ett Virtual Private Cloud (VPC). Denna virtuella brandvägg gör det möjligt för Workiva att kontrollera trafiken till och från Chain Builder. På en mer detaljerad nivå är Chain Builders tjänster hostade inom offentliga och privata subnät - eller isolerade block av IP-adresser - i VPC:n. VPC:n fungerar som en DMZ, varigenom:
- De publika subnäten innehåller tjänster med åtkomst direkt via det publika Internet via HTTPS-förfrågningar på en enda port (443).
- De privata subnäten förhindrar offentlig trafik och är värd för interna tjänster som endast har åtkomst av tjänster inom VPC.
Säkerhet vid dataöverföring
För att säkerställa fullständig säkerhet vid dataöverföring mellan system krypteras all trafik till och från Chain Builder med TLS 1.3-protokollet med 2048-bitars värdepapper. Dessutom är kommunikationen mellan interna applikationer krypterad för att säkerställa att alla överföringar skickas från en legitim källa.
GroundRunners och CloudRunner har support för direkt utbyte av data, vilket innebär att agenter kan ladda ner och utbyta arkivering över en kommunikationskanal med hjälp av samma TLS 1.3-protokoll utöver en JSON Web Token (JWT). Varje GroundRunner har support för direkt datautbyte mellan agenter och kan konfigureras för att inaktivera eller aktivera detta alternativ och styra dess lyssningsport (som standard 8821).
För att skapa en säker kanal arbetar GroundRunners också med en företagsproxyserver som styrs av ditt företags IT för att kommunicera med värdtjänsten.
Värdepapper i databaslagret
Databasservrar finns inom privata subnät. Dessa databaser kan inte åtkommas direkt från det allmänna Internet Alla anslutningar till databaser är lösenordsskyddade och endast de nödvändiga portarna har åtkomst. För att förhindra dataförlust är databaserna mycket redundanta och distribuerade över flera datacenter.
Databaser säkerhetskopieras dagligen. Dessa ögonblicksbilder lagras i Amazon Simple Storage Service (S3) med en krypteringsnivå på AES-256 och över flera tillgänglighetszoner för att säkerställa ett extra lager av säker redundans.
Data- och metadatahantering
För att beskriva och tillhandahålla information om data lagrar värdtjänsten dessa metadata med en krypteringsnivå på AES-256:
- Utforma metadata, t.ex. konfiguration av arbetsytor, kedjor och uppgifter.
- Revision av metadata, t.ex. ändringshistorik för alla komponenter, inklusive arbetsytor, kedjor, arkivering och scheman.
- Metadata för exekvering, t.ex. historik för kedje- och uppgiftskörningar och eventuella loggar som produceras av servern, CloudRunner eller GroundRunners.
CloudRunner och GroundRunners utför all dataöverföring och har ett direkt gränssnitt mot:
- Workiva-plattformen
- Molnapplikationer som Anaplan®, Salesforce®, Oracle® EPM Cloud och Tableau®.
- Lokala applikationer som Oracle® Hyperion eller SQL Server® via deras inbyggda API:er
En kedja kan innehålla en uppgift som producerar en efemär plattfil för mellanlagring, en s.k. output.
- Om CloudRunner genererar utdata lagras den med en krypteringsnivå på AES-256 på en EFS-volym (AWS Elastic File System).
- Om en GroundRunner genererar utdata lagras den efemärt i värdens filsystem, som bestämmer krypteringsnivån.
Bilagor till arbetsflöden är flyktiga och försvinner efter att arbetsflödet har slutförts. Om du vill bevara en fil som är kopplad till ett arbetsflöde sparar du den i ett lokalt filsystem eller på en molnenhet som Google® Drive eller BOX®.
Känsliga arkiveringar - t.ex. resurser som laddas upp för en arbetsyta eller connector - krypteras via HashiCorp Vault Transit-kryptering och lagras krypterade i Amazon Simple Storage Service (S3). Känsliga textfält, t.ex. autentiseringsuppgifter som anges som en anslutningsegenskap, lagras som krypterade HashiCorp Vault Secrets i Amazon DynamoDB®. För att lagra huvudnyckeln använder både Vault Transit och Vault Secrets/KV Store awskms seal.