為了整合和自動化雲端和內部部署應用程式,鏈結利用 Amazon® Web Services (AWS) 安全性和 iPaaS 架構來符合全面的企業架構標準和嚴格的 IT 安全性原則。鏈結產生器 架構的每一層都保護客戶資料,並:
- 提供與其連結的敏感系統的存取控制
- 滿足現代架構的要求
- 符合 SOC1 和 SOC2
- 通常會超過需要的雲端憑證
參考架構
您可以透過支援網路和行動裝置的 HTTPS(TLS 1.3 或更高版本)通訊協定安全地建立鏈結。在主機服務中執行的為主要應用程式,這是支援進階加密標準 (AES) 的資料庫,可安全地存放中繼資料和佇列,以遠端管理 CloudRunner 和 GroundRunner 服務代理程式上的通訊和任務執行。
總之,鏈結建立器架構包括:
- 以安全的瀏覽器為基礎的使用者介面,可用於執行和管理整合。
- 中央多租戶服務裝載於 Amazon Web Services (AWS) 中
- CloudRunner 和 GroundRunner 的遠端執行代理,可連結雲端和內部部署應用程式
GroundRunners 和 CloudRunners
執行代理程式名為 GroundRunners,託管於內部部署,並在用戶端網路內外與應用程式相連結。GroundRunners:
- 資源佔用量小。
- 在實體和虛擬運算資源中,支援 Microsoft Windows®、Linux®、macOS® 和 Oracle Solaris® 作業系統。
- 執行所有必需的自動化和整合工作,涵蓋執行簡單的作業系統命令,以及本地應用程式操作 (例如載入或擷取資料)。
如要存取內部部署系統,您必須將 GroundRunner 託管在可以存取主機服務的作業環境中。
如果您不需要存取內部部署系統,則會由 Workiva 託管的預設 CloudRunner 執行整合任務。
| 部署注意事項 | GroundRunner | CloudRunner |
|---|---|---|
| 安裝 | 需要安裝在您公司防火牆內的運算環境中,該運算環境必須可以透過連接埠 443 與外部主機服務連結。進一步了解 | 無 |
| 作業系統 | Microsoft Windows、Linux、Oracle Solaris 或 macOS。可執行檔作為服務執行,且需要使用特定服務帳戶才能啟動,該帳戶須具有作業系統或其他共享資源的適當權限。 | 不適用 |
| 服務責任 | 您的組織負責裝載、管理和安裝 GroundRunners | 提供預設的 CloudRunner 以作為鏈結建立器的一部分,是 Workiva 的責任 |
| 資料流程 | 只要使用 GroundRunner,您的資料將不會透過主機服務傳輸 | 當 CloudRunner 直接與支援的雲端技術連結時,它將透過主機服務傳輸資料 |
| 內部部署和雲端整合 | 與內部部署和雲端應用程式完整且順暢的整合 | 僅適用於雲端應用程式間的整合 |
| 應用程式已發佈 API 的本地使用 | 根據內部部署系統,連線利用不同的應用程式程式設計介面 (API)。針對雲端技術,連線僅使用已發佈的 REST API,這些 API 透過 HTTPS (TLS 1.3) 安全地傳輸資料 | 連線僅使用已發佈的 REST API,這些 API 透過 HTTPS (TLS 1.3) 安全地傳輸資料 |
GroundRunners 會定期檢查是否有新的升級。GroundRunner 偵測到升級時,會使用嚴格的安全傳輸層自動下載新的二進位檔案。另外,您也可以手動下載並部署二進位檔案。為了防止中間人攻擊,新的二進位檔案已簽署且加密。
網路安全性
鏈結產生器託管在 AWS 上,其網路在虛擬私有雲端 (VPC) 中執行。此虛擬防火牆讓 Workiva 能夠控制往返鏈結產生器的流量。在更精細的層面上,鏈結產生器的服務託管在 VPC 的公共和私有子網路(即 IP 位址的隔離區塊)中。VPC 當作 DMZ,即:
- 公用子網路所包含的服務,可以在單個連接埠 (443) 上透過 HTTPS 要求,直接從公用網路中存取。
- 私有子網可防止公共流量,並託管僅由 VPC 內部服務存取的內部服務。
資料傳輸安全性
為了確保系統之間資料傳輸的完全安全性,所有往返鏈結產生器的流量都使用 2048 位元認證加密,並採用 TLS 1.3 通訊協定。此外,內部應用程式之間的通訊已加密,以確保所有傳輸均來自合法來源。
GroundRunner 和 CloudRunner 支援直接資料交換,由此代理除了使用相同的 TLS 1.3 通訊協定外,也可以使用 JSON Web 權杖 (JWT),以透過通訊頻道下載和交換檔案。每個 GroundRunner 均支援直接的代理程式到代理資料交換,可設定要啟用或停用此選項,也可設定對其接聽連接埠進行控制(預設為 8821)。
為了建立安全的通道,貴公司的 IT 部門也可以引導 GroundRunners 使用公司 Proxy 伺服器,以與主機服務通訊。
資料庫層安全性
資料庫伺服器託管在私人子網路中。這些資料庫無法直接從公共網際網路存取;只有在 VPC 內的服務才能連線至這些資料庫。所有連至資料庫的連線都受到密碼保護,並且只能存取必要的連接埠。為了防止資料遺失,資料庫具有高度冗餘性,並分佈在多個資料中心。
資料庫每天都會備份。這些快照以 AES-256 加密層級儲存在 Amazon Simple Storage Service (S3) 中,分散在多個可用區,以確保增加多一層的安全保障。
資料和中繼資料管理
為了說明和提供有關資料的資訊,主機服務以 AES-256 加密層級儲存此中繼資料:
- 設計中繼資料:例如工作區、鏈結和工作配置。
- 審計中繼資料:例如任何元件變更的歷史記錄,包括工作區、鏈結、檔案資源和排程。
- 執行時間中繼資料:例如鏈結和工作執行時間的歷史記錄,以及任何由 CloudRunner 或 GroundRunners 伺服器生成的記錄。
CloudRunner 和 GroundRunners 執行所有資料傳輸,並直接連結以下:
- Workiva 平台
- 雲端應用程式,例如 Anaplan®、Salesforce®、Oracle®EPM Cloud 和 Tableau®
- 透過本地 API 的內部部署應用程式 (例如 Oracle® Hyperion 或 SQL Server®)
鏈結中包含的工作可以產生一般的暫存檔案,我們通常稱之為輸出。
- 如果是由 CloudRunner 產生的輸出,則會以 AES-256 的加密層級儲存在 AWS Elastic File System (EFS) 磁碟區中。
- 如果是由 GroundRunner 產生的輸出,則會暫時儲存在主機的檔案系統上,加密層級視檔案系統而定。
工作流程附件為暫時性的,在工作流程完成後就會消失。如要保留與工作流程相關的檔案,請將其儲存到內部部署檔案系統或雲端硬碟中(例如 Google® Drive 或 BOX®)。
敏感檔案(例如為工作區或連接器上傳的資源)都透過 HashiCorp Vault Transit 加密進行加密,並以加密方式儲存在 Amazon Simple Storage Service (S3) 中。敏感文字欄位(例如作為連接器摘要資訊輸入的驗證憑證)會以加密的 HashiCorp Vault Secrets 形式儲存在 Amazon DynamoDB® 中。為了儲存主金鑰,Vault Transit 和 Vault Secrets/KV Store 都使用 awskms 密封。