- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Lizenzierung
- Mandanten und Dienste
- Konten und Rollen
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Fehlersuche und ‑behebung
Automation Cloud für den öffentlichen Sektor – Administratorhandbuch
ALE mit kundenseitig verwalteten Schlüsseln
Diese Funktion ist in allen Stufen unseres Enterprise-Lizenzierungsplans verfügbar, einschließlich der Stufe „Standard“.
Die Aktivierung dieser Funktion hat schwerwiegende Auswirkungen auf den Datenzugriff. Sollten Probleme mit dem Schlüssel auftreten, besteht die Gefahr, dass Sie den Zugriff auf Ihre Daten verlieren.
In der folgenden Tabelle finden Sie einige häufige problematische Szenarien und deren Lösungen.
Szenario |
Lösung |
---|---|
Ihre Anmeldeinformationen für den Zugriff auf Azure Key Vault (AKV) sind abgelaufen oder wurden gelöscht. |
Wenn Sie sich immer noch mit Ihrer E-Mail-Adresse und Ihrem Kennwort anmelden können (kein SSO) … … und wenn Sie ein Organisationsadministrator sind , können Sie Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Seite Admin der Organisation aktualisieren. … und wenn Sie kein Organisationsadministrator sind, können Sie über ein Support-Ticket darum bitten, in eine Administratorrolle befördert zu werden; können Sie dann Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Seite Administrator der Organisation aktualisieren . Wenn Sie sich nicht mehr anmelden können, geben Sie Ihre Organisations-ID über ein Supportticket an. Wir können Sie dann als Administrator einladen und befördern. Sie können dann Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Seite Administrator der Organisation aktualisieren . Sobald Sie wieder Zugang zu den Anmeldeinformationen haben, empfehlen wir Ihnen, einen neuen AKV-Schlüssel und Anmeldedatensatz zu erstellen. Anschließend konfigurieren Sie den kundenseitig verwalteten Schlüssel mit diesen neuen Informationen, um sicherzustellen, dass niemand sonst Zugriff auf Ihre Anmeldeinformationen hat. |
Ihr AKV-Schlüssel ist abgelaufen. |
Ihr kundenseitig verwalteter Schlüssel funktioniert weiterhin, aber wir empfehlen Ihnen, zu einem neuen Schlüssel zu wechseln. |
Ihr AKV-Schlüssel wurde gelöscht. |
Sie können Ihren AKV-Schlüssel während des Aufbewahrungszeitraums über das Azure-Portal wiederherstellen. |
Ihr AKV-Schlüssel wurde entfernt, aber eine Sicherung war vorhanden. |
Sie können den Schlüssel aus der Azure-Portalsicherung wiederherstellen. Standardmäßig hat der wiederhergestellte Schlüssel dieselbe ID wie der ursprüngliche Schlüssel, die Sie nicht ändern sollten. |
Ihr AKV-Schlüssel wurde entfernt und es war keine Sicherung vorhanden. |
Warnung:
Für dieses Szenario gibt es keine Lösung. In dieser Situation gehen Ihre UiPath®-Kundendaten verloren. |
Zusätzlich zur Standard-TDE auf Speicherebene verwenden bestimmte Dienste auch Implicit Application-Level Encryption (ALE). Die Daten werden also bereits auf der Anwendungsebene verschlüsselt, bevor sie gespeichert werden, was eine zusätzliche Sicherheitsebene darstellt.
Darüber hinaus bieten einige Dienste/Ressourcen eine optionale, benutzergesteuerte Verschlüsselung an, die als „Optional (Opt in) ALE“ bezeichnet wird. Dies gibt Ihnen die Möglichkeit, zu entscheiden, ob diese Dienste/Ressourcen ALE verwenden sollen oder nicht. Die Liste der Dienste oder Ressourcen und der für sie relevanten Verschlüsselungstypen finden Sie auf der Seite Verschlüsselte Daten in unserer Dokumentation.
Bei Diensten mit ALE, entweder implizit oder optional, haben Sie die Möglichkeit, auszuwählen, wer den Verschlüsselungsschlüssel verwaltet. Dies kann entweder von UiPath oder von Ihnen selbst verwaltet werden. Dazu unterstützt Azure Key Vault die Versionierung von Geheimnissen, so dass Sie ein Geheimnis generieren können, das Sie bei der Konfiguration Ihres Schlüssels auf Organisationsebene verwenden können.
Nachdem Sie den kundenseitig verwalteten Schlüssel aktiviert haben, werden zuvor gesicherte Daten nicht erneut verschlüsselt und alle vorhandenen Sicherungen werden nach ihrem Ablauf entfernt. Mit dieser Option werden nur neue Daten verschlüsselt.
In der kundenseitig verwalteten Schlüsselarchitektur verschlüsseln UiPath-Produkte oder Plattformdienste (z. B. der UiPath Orchestrator oder UiPath Identity Service) im Allgemeinen sensible Kundendaten, bevor sie gespeichert werden. Wenn Datenzugriff erforderlich ist, ruft das Produkt oder der Dienst Ihre Schlüsselverwaltungsinfrastruktur auf, um den Entschlüsselungsschlüssel zu erhalten. Dadurch haben Sie die Kontrolle über die verschlüsselten Daten in UiPath, da Sie die Rückgabe des Schlüssels ablehnen können.
Dieser Prozess umfasst die folgenden Komponenten:
- Der Schlüsselverwaltungsdienst (Key Management Service, KMS) – dies ist das interne Tool von UiPath, das für die Verschlüsselung von Schlüsseln entwickelt wurde.
- Der Datenverschlüsselungsschlüssel (DEK oder KMS DEK) – wird zum Verschlüsseln von Klartextdaten verwendet. Im Allgemeinen wird der DEK vom KMS oder vom internen Schlüsseltresor von UiPath generiert und nirgendwo im Klartext gespeichert.
- Der Schlüsselverschlüsselungsschlüssel (KEK) – wird zum Verschlüsseln des DEK verwendet. Das Verschlüsseln eines Schlüssels wird als Schlüsselverpackung bezeichnet. Im Allgemeinen wird der KEK von Ihnen generiert, in Ihrem Schlüsseltresor gespeichert und stellt den tatsächlichen kundenseitig verwalteten Schlüssel dar, der von Ihrem Schlüsselverwaltungsdienst gesteuert wird.
- Der verschlüsselte Datenverschlüsselungsschlüssel (EDEK) – dies ist der DEK, der vom KEK verpackt wird. In der Regel wird dieser Schlüssel vom Dienstanbieter (z. B. dem Orchestrator) gespeichert; folglich ruft der Dienst immer dann, wenn er auf verschlüsselte Daten zugreifen muss, den Schlüsselverwaltungsdienst des Kunden auf, um den KEK zu erhalten, der zum Entschlüsseln des EDEK benötigt wird, und um den DEK zu erzeugen, der dann zum Entschlüsseln der Daten verwendet wird.
- Der interne Schlüssel von UiPath – wird zum Verschlüsseln von Datenspalten verwendet, einschließlich des CMK und des KMS DEK.
Dieses Diagramm veranschaulicht, wie die verschiedenen Komponenten, die an der Aktivierung von kundenseitig verwalteten Schlüsseln beteiligt sind, zusammenarbeiten:
Die Aktivierung dieser Funktion hat schwerwiegende Auswirkungen auf den Datenzugriff. Sollten Probleme mit dem Schlüssel auftreten, besteht die Gefahr, dass Sie den Zugriff auf Ihre Daten verlieren.
So erstellen Sie die erforderlichen Anmeldeinformationen und aktivieren diese Option:
Die Weitergabe des neuen kundenseitig verwalteten Schlüssels nach der Erstellung kann 15 Minuten dauern. Dies liegt daran, dass unser interner Cache aus Leistungsgründen verhindert, dass derselbe Schlüssel wiederholt weitergegeben wird.
Beim Orchestrator dauert der Caching-Zyklus für den externen Schlüsselabruf eine Stunde; darüber hinaus beträgt der Caching-Zyklus für die interne Verwendung weitere 15 Minuten.
Die Verschlüsselung mit einem kundenseitig verwalteten Schlüssel kann mit einem geheimen Schlüssel oder einem Zertifikat erfolgen. Weitere Informationen zum Einrichten von Zertifikaten finden Sie unter Konfigurieren und Abrufen eines Zertifikats im Azure Key Vault in der Microsoft-Dokumentation. Führen Sie die folgenden Schritte auf hoher Ebene aus, um ein Azure Key Vault-Zertifikat für die Verschlüsselung einzurichten:
-
Melden Sie sich bei Azure Key Vault an und navigieren Sie zum Abschnitt Zertifikate .
-
Erstellen Sie ein Zertifikat mit dem Antragsteller als
CN=uipath.com
und dem Inhaltstyp alsPEM
. -
Laden Sie das Zertifikat nach der Erstellung im PFX/PEM-Format herunter. Speichern Sie auch den Schlüsselbezeichner für die spätere Verwendung.
-
Öffnen Sie die Datei
.pem
mit einem Texteditor. Er muss aus zwei Abschnitten bestehen:BEGIN PRIVATE KEY/END PRIVATE KEY
undBEGIN CERTIFICATE/END CERTIFICATE
. -
Erstellen Sie eine neue
.pem
-Datei, die nur die Zeilen zwischenBEGIN CERTIFICATE
undEND CERTIFICATE.
enthält. -
Suchen Sie im Azure-Portal die Registerkarte Zertifikate und Geheimschlüssel in Ihrer App-Registrierung und laden Sie die neue
.pem
-Datei hoch. -
In der Automation Cloud müssen Sie als Teil der kundenseitig verwalteten Schlüsselkonfiguration den gesamten Inhalt des heruntergeladenen
.pem
-Zertifikats aus Azure Key Vault im Feld Geheimer Clientschlüssel oder -zertifikat hinzufügen und den Schlüsselbezeichner hinzufügen, der in Azure Key Vault gefunden wurde .
Sobald Sie diese Option aktivieren, können Sie auch alle Details im Zusammenhang mit der Verbindung bearbeiten. Klicken Sie dazu unter der Option Kundenseitig verwalteter Schlüssel auf Verbindung bearbeiten und ändern Sie alle Informationen nach Bedarf.
Es empfiehlt sich, Ihre Schlüssel routinemäßig zu rotieren, um den kontinuierlichen Schutz Ihrer verschlüsselten Daten vor möglichen Sicherheitsverletzungen zu gewährleisten.
Die automatische Rotation kann im Azure Key Vault konfiguriert werden, aber Sie müssen die kundenseitig verwalteten Schlüsselinformationen für Ihre Automation CloudTM – Öffentlicher Sektor weiterhin manuell aktualisieren:
- Erstellen Sie einen neuen Schlüssel in Ihrem aktuellen Azure Key Vault oder in einem neuen Tresor.
- Kehren Sie zur Seite Sicherheitseinstellungen für Ihre Automation CloudTM – Öffentlicher Sektor- Organisation zurück.
- Klicken Sie unter Kundenseitig verwalteter Schlüssel auf Verbindung bearbeiten und fügen Sie dann die Details für den neuen Schlüssel hinzu, den Sie erstellt haben.
Die Schlüsselrotation funktioniert nur, wenn sowohl der alte als auch der neue Schlüssel noch gültig sind.
Schlüsselrotationsprüfung: Sie können alle Änderungen an kundenseitig verwalteten Schlüsseln auf der Seite Prüfung im Orchestrator auf Mandantenebene sehen.
Wenn Ihr Enterprise-Plan abläuft, werden Sie automatisch auf den Free-Plan herabgestuft. Folgendes können Sie in Bezug auf die Datenverschlüsselung erwarten:
- Die Option Kundenseitig verwalteter Schlüssel ist immer noch für Sie aktiviert, aber in der Benutzeroberfläche ausgegraut. Daher können Sie die Werte nicht mehr bearbeiten, z. B. die Details des Schlüsseltresors ändern.
- Sie können zum verwalteten UiPath-Schlüssel (Standard) wechseln, aber Sie können erst dann zum kundenseitig verwalteten Schlüssel zurückkehren, wenn Ihr Plan auf Enterprise aktualisiert wurde.
Bevor Sie mit der Verwendung von kundenseitig verwalteten Schlüsseln beginnen, müssen Sie einige wichtige Details beachten:
-
Sobald Sie im Rahmen der Schlüsselrotation einen neuen Schlüssel verwenden, kann der alte nicht mehr für den Zugriff und die Verschlüsselung von Daten verwendet werden. Daher ist es wichtig, alte Schlüssel im Schlüsseltresor aufzubewahren, d. h. sie zu deaktivieren, anstatt sie zu löschen. Dies ist besonders wichtig in Notfallwiederherstellungsszenarien, in denen UiPath möglicherweise zu einer Sicherung einer älteren Version der Datenbank zurückkehren muss. Wenn diese Sicherung einen Ihrer alten Schlüssel verwendet, können Sie zu diesem wechseln, um den Datenzugriff wiederherzustellen.
Wenn Sie einen Schlüssel entfernen möchten, ist es wichtig, dass Sie die Funktion zum vorläufigen Löschen verwenden.
- Wenn Sie Ihren Schlüssel verlieren, können Sie keine Verbindung mehr zum Tresor herstellen. Sie sollten daher gemäß den Sicherheitsrichtlinien Ihrer Organisation immer eine Sicherung des Schlüssels im Azure-Portal oder in einem von Azure getrennten sicheren Schlüsseltresor erstellen.
- Wenn Sie Single Sign-On für den Zugriff auf UiPath-Dienste nutzen, können Sie erwägen, ein lokales Konto zu erstellen, das als Break-Glass-Konto fungiert. Da die Informationen des externen Identitätsanbieters in den Daten enthalten sind, die durch den kundenseitig verwalteten Schlüssel verschlüsselt werden, ist kein Zugriff auf SSO-Konten möglich, sollte Ihr Schlüsseltresor nicht mehr erreichbar sein.
- Aus Sicherheitsgründen sollten Benutzer, die nicht über Administratorrechte auf oberster Ebene verfügen, keine Bereinigungsrechte für den kundenseitig verwalteten Schlüssel haben.
-
Wenn Sie nicht mehr möchten, dass UiPath auf Ihre Daten zugreifen kann, können Sie den Schlüssel aus dem Azure Key Vault deaktivieren, wie in der Abbildung unten gezeigt:
Erfahren Sie mehr über Azure Key Vault-Wiederherstellungsaktionen.
- Überblick
- Erläuterungen zu kundenverwalteten Schlüsseln
- Aktivieren des kundenverwalteten Schlüssels
- Einrichten eines Azure Key Vault-Zertifikats für UiPath
- Bearbeiten des kundenverwalteten Schlüssels
- Schlüsselrotation
- Lizenz-Downgrade
- Best Practices für die Verwendung von kundenseitig verwalteten Schlüsseln