為了整合和自動化雲端與內部部署應用程式,鏈結利用了 Amazon® Web Services (AWS) 安全性和 iPaaS 架構,以符合整體企業架構標準和嚴格的 IT 安全政策。鏈結建立器 (Chain Builder) 架構的每一層都可以保護用戶端資料,並且:
- 提供與其連結的敏感系統的存取控制
- 滿足現代架構的要求
- 符合 SOC1 和 SOC2
- 通常會超過需要的雲端憑證
參考架構
您可以透過支援網路和行動裝置的 HTTPS (TLS 1.2 或更高版本) 通訊協定安全地建立鏈結。在主機服務中執行的為主應用程式,是一個支援進階加密標準 (AES) 的資料庫,可以安全地存放中繼資料和佇列,以遠端管理 CloudRunner 和 GroundRunner 服務代理上的通訊和工作執行。
總之,鏈結建立器架構包括:
- 以安全的瀏覽器為基礎的使用者介面,可用於執行和管理整合。
- 中央多租戶服務裝載於 Amazon Web Services (AWS) 中
- CloudRunner 和 GroundRunner 的遠端執行代理,可連結雲端和內部部署應用程式
GroundRunners 和 CloudRunners
執行代理名為 GroundRunners,裝載於內部部署,並在用戶端網路內外與應用程式相連結。GroundRunners:
- 佔用資源少。
- 在實體和虛擬計算資源中,支援 MicrosoftWindows®、Linux®、macOS® 和 OracleSolaris® 作業系統。
- 執行所有必需的自動化和整合工作,涵蓋執行簡單的作業系統命令,以及本地應用程式操作 (例如載入或擷取資料)。
如要存取內部部署系統,您必須將 GroundRunner 寄存在可以存取主機服務的操作環境中。
如果您不需要存取內部部署系統,則會由 Workiva 裝載的的預設 CloudRunner 執行整合工作。
| 部署注意事項 | GroundRunner | CloudRunner |
|---|---|---|
| 安裝 | 需要安裝在您公司防火牆內的計算環境中,該計算環境必須可以透過連接埠 443 與外部主機服務連結。進一步了解 | 無 |
| 作業系統 | Microsoft Windows、Linux、Oracle Solaris 或 macOS。可執行檔作為服務執行,且需要使用特定服務帳戶才能啟動,該帳戶須具有作業系統或其他共享資源的適當權限。 | 不適用 |
| 服務責任 | 您的組織負責裝載、管理和安裝 GroundRunners | 提供預設的 CloudRunner 以作為鏈結建立器的一部分,是 Workiva 的責任 |
| 資料流程 | 只要使用 GroundRunner,您的資料將不會透過主機服務傳輸 | 當 CloudRunner 直接與支援的雲端技術連結時,它將透過主機服務傳輸資料 |
| 內部部署和雲端整合 | 與內部部署和雲端應用程式完整且順暢的整合 | 僅適用於雲端應用程式間的整合 |
| 應用程式已發佈 API 的本地使用 | 根據內部部署系統,不同連線利用不同的應用程式的程式設計介面 (API)。對於雲端技術,連線僅使用透過 HTTPS (TLS 1.2) 安全地傳輸資料的已發佈 REST API。 | 連線僅使用已發佈的 REST API,這些 API 透過 HTTPS (TLS 1.2) 安全地傳輸資料 |
GroundRunners 會定期檢查是否有新的升級。當 GroundRunner 偵測到升級時,它會使用嚴格的安全傳輸層,自動下載新的二進位檔。或者,您可以手動下載和部署二進位檔。為了防止中間人攻擊,新的二進位檔需要簽署和加密。
網路安全性
鏈結建立器裝載於 AWS 上,在虛擬私人雲端 (VPC) 中執行網路。該虛擬防火牆使 Workiva 可以控制鏈結建立器的流量。在更精細的層次上,鏈結建立器的服務裝載於 VPC 的公用和私人子網路中 (或裝載在 IP 位址的隔離區塊中)。將 VPC 當作 DMZ,由此:
- 公用子網路所包含的服務,可以在單個連接埠 (443) 上透過 HTTPS 要求,直接從公用網路中存取。
- 私人子網路可防止公用流量,並裝載僅能透過 VPC 的服務存取的內部服務。
資料傳輸安全性
為確保系統之間資料傳輸的完整安全性,所有鏈結建立器的流量均使用 2048 位元憑證的 TLS 1.2 通訊協定進行加密。此外,內部應用程式之間的通訊也經過加密,以確保所有傳輸均從合法來源傳送。
GroundRunner 和 CloudRunner 支援直接資料交換,由此代理除了使用相同的 TLS 1.2 通訊協定外,也可以使用 JSON Web 權杖 (JWT),以透過通訊通道下載和交換檔案。每個 GroundRunner 均支援直接的代理到代理資料交換,可設定要啟用或停用此選項,也可設定對其接聽連接埠進行控制 (預設為 8821)。
為了建立安全的通道,您公司的 IT 部門也可以引導 GroundRunners 使用公司 Proxy 服務器,以與主機服務進行通訊。
資料庫層安全性
資料庫伺服器裝載在私人子網路中。這些資料庫無法直接從公用網路存取;僅能使用 VPC 的服務與其連線。所有與資料庫的連線均受密碼保護,且僅可透過必要的連接埠存取。為了防止資料遺失,資料庫是高度重複的,並分散在多個資料中心。
資料庫每天都會進行備份。這些快照以 AES-256 加密層級儲存在 Amazon Simple Storage Service (S3) 中,分散在多個可用區,以確保增加多一層的安全保障。
資料和中繼資料管理
為了說明和提供有關資料的資訊,主機服務以 AES-256 加密層級儲存此中繼資料:
- 設計中繼資料:例如工作區、鏈結和工作配置。
- 審計中繼資料:例如任何元件變更的歷史記錄,包括工作區、鏈結、檔案資源和排程。
- 執行時間中繼資料:例如鏈結和工作執行時間的歷史記錄,以及任何由 CloudRunner 或 GroundRunners 伺服器生成的記錄。
CloudRunner 和 GroundRunners 執行所有資料傳輸,並直接連結以下:
- Workiva 平台
- 雲端應用程式,例如 Anaplan®、Salesforce®、Oracle®EPM Cloud 和 Tableau®
- 透過本地 API 的內部部署應用程式 (例如 Oracle® Hyperion 或 SQL Server®)
鏈結中包含的工作可以產生一般的暫存檔案,我們通常稱之為輸出。
- 如果是由 CloudRunner 產生的輸出,則會以 AES-256 的加密層級儲存在 AWS Elastic File System (EFS) 磁碟區中。
- 如果是由 GroundRunner 產生的輸出,則會暫時儲存在主機的檔案系統上,加密層級視檔案系統而定。
工作流程的附件是暫時的,工作流程完成後就會消失。如要保留與工作流程相關的檔案,請將其儲存到內部部署檔案系統或雲端驅動器中 (例如 Google® Drive 或 BOX®)。
敏感文檔(例如為工作區或連接器上傳的資源)透過 HashiCorp Vault Transit 加密技術進行加密,並以加密方式儲存在 Amazon Simple Storage Service (S3) 中。敏感文字欄位(例如,作為連接器屬性輸入的身份驗證憑據)在 AmazonDynamoDB® 中存儲為加密的 HashiCorp Vault Secrets。要存儲主密鑰,Vault Transit 和 Vault Secrets / KV Store 均使用 awskms 密封。