automation-cloud
latest
false
UiPath logo, featuring letters U and I in white
Automation Cloud-Administratorhandbuch
Last updated 26. Nov. 2024

ALE mit kundenseitig verwalteten Schlüsseln

Diese Funktion ist in allen Stufen unseres Enterprise-Lizenzierungsplans verfügbar, einschließlich der Stufe „Standard“.

Warnung:

Die Aktivierung dieser Funktion hat schwerwiegende Auswirkungen auf den Datenzugriff. Sollten Probleme mit dem Schlüssel auftreten, besteht die Gefahr, dass Sie den Zugriff auf Ihre Daten verlieren.

In der folgenden Tabelle finden Sie einige häufige problematische Szenarien und deren Lösungen.

Szenario

Lösung

Ihre Anmeldeinformationen für den Zugriff auf Azure Key Vault (AKV) sind abgelaufen oder wurden gelöscht.

Wenn Sie sich immer noch mit Ihrer E-Mail-Adresse und Ihrem Kennwort anmelden können (kein SSO) …

… und wenn Sie ein Organisationsadministrator sind , können Sie Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Seite Admin der Organisation aktualisieren.

… und wenn Sie kein Organisationsadministrator sind, können Sie über ein Support-Ticket darum bitten, in eine Administratorrolle befördert zu werden; können Sie dann Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Seite Administrator der Organisation aktualisieren .

Wenn Sie sich nicht mehr anmelden können, geben Sie Ihre Organisations-ID über ein Supportticket an. Wir können Sie dann als Administrator einladen und befördern. Sie können dann Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Seite Administrator der Organisation aktualisieren .

Sobald Sie wieder Zugang zu den Anmeldeinformationen haben, empfehlen wir Ihnen, einen neuen AKV-Schlüssel und Anmeldedatensatz zu erstellen. Anschließend konfigurieren Sie den kundenseitig verwalteten Schlüssel mit diesen neuen Informationen, um sicherzustellen, dass niemand sonst Zugriff auf Ihre Anmeldeinformationen hat.

Ihr AKV-Schlüssel ist abgelaufen.

Ihr kundenseitig verwalteter Schlüssel funktioniert weiterhin, aber wir empfehlen Ihnen, zu einem neuen Schlüssel zu wechseln.

Ihr AKV-Schlüssel wurde gelöscht.

Sie können Ihren AKV-Schlüssel während des Aufbewahrungszeitraums über das Azure-Portal wiederherstellen.

Ihr AKV-Schlüssel wurde entfernt, aber eine Sicherung war vorhanden.

Sie können den Schlüssel aus der Azure-Portalsicherung wiederherstellen. Standardmäßig hat der wiederhergestellte Schlüssel dieselbe ID wie der ursprüngliche Schlüssel, die Sie nicht ändern sollten.

Ihr AKV-Schlüssel wurde entfernt und es war keine Sicherung vorhanden.

Warnung:

Für dieses Szenario gibt es keine Lösung. In dieser Situation gehen Ihre UiPath®-Kundendaten verloren.

Überblick

Zusätzlich zur Standard-TDE auf Speicherebene verwenden bestimmte Dienste auch Implicit Application-Level Encryption (ALE). Die Daten werden also bereits auf der Anwendungsebene verschlüsselt, bevor sie gespeichert werden, was eine zusätzliche Sicherheitsebene darstellt.

Darüber hinaus bieten einige Dienste/Ressourcen eine optionale, benutzergesteuerte Verschlüsselung an, die als „Optional (Opt in) ALE“ bezeichnet wird. Dies gibt Ihnen die Möglichkeit, zu entscheiden, ob diese Dienste/Ressourcen ALE verwenden sollen oder nicht. Die Liste der Dienste oder Ressourcen und der für sie relevanten Verschlüsselungstypen finden Sie auf der Seite Verschlüsselte Daten in unserer Dokumentation.

Bei Diensten mit ALE, entweder implizit oder optional, haben Sie die Möglichkeit, auszuwählen, wer den Verschlüsselungsschlüssel verwaltet. Dies kann entweder von UiPath oder von Ihnen selbst verwaltet werden. Dazu unterstützt Azure Key Vault die Versionierung von Geheimnissen, so dass Sie ein Geheimnis generieren können, das Sie bei der Konfiguration Ihres Schlüssels auf Organisationsebene verwenden können.

Nachdem Sie den kundenseitig verwalteten Schlüssel aktiviert haben, werden zuvor gesicherte Daten nicht erneut verschlüsselt und alle vorhandenen Sicherungen werden nach ihrem Ablauf entfernt. Mit dieser Option werden nur neue Daten verschlüsselt.

Erläuterungen zu kundenverwalteten Schlüsseln

In der kundenseitig verwalteten Schlüsselarchitektur verschlüsseln UiPath-Produkte oder Plattformdienste (z. B. der UiPath Orchestrator oder UiPath Identity Service) im Allgemeinen sensible Kundendaten, bevor sie gespeichert werden. Wenn Datenzugriff erforderlich ist, ruft das Produkt oder der Dienst Ihre Schlüsselverwaltungsinfrastruktur auf, um den Entschlüsselungsschlüssel zu erhalten. Dadurch haben Sie die Kontrolle über die verschlüsselten Daten in UiPath, da Sie die Rückgabe des Schlüssels ablehnen können.

Dieser Prozess umfasst die folgenden Komponenten:

  • Der Schlüsselverwaltungsdienst (Key Management Service, KMS) – dies ist das interne Tool von UiPath, das für die Verschlüsselung von Schlüsseln entwickelt wurde.
  • Der Datenverschlüsselungsschlüssel (DEK oder KMS DEK) – wird zum Verschlüsseln von Klartextdaten verwendet. Im Allgemeinen wird der DEK vom KMS oder vom internen Schlüsseltresor von UiPath generiert und nirgendwo im Klartext gespeichert.
  • Der Schlüsselverschlüsselungsschlüssel (KEK) – wird zum Verschlüsseln des DEK verwendet. Das Verschlüsseln eines Schlüssels wird als Schlüsselverpackung bezeichnet. Im Allgemeinen wird der KEK von Ihnen generiert, in Ihrem Schlüsseltresor gespeichert und stellt den tatsächlichen kundenseitig verwalteten Schlüssel dar, der von Ihrem Schlüsselverwaltungsdienst gesteuert wird.
  • Der verschlüsselte Datenverschlüsselungsschlüssel (EDEK) – dies ist der DEK, der vom KEK verpackt wird. In der Regel wird dieser Schlüssel vom Dienstanbieter (z. B. dem Orchestrator) gespeichert; folglich ruft der Dienst immer dann, wenn er auf verschlüsselte Daten zugreifen muss, den Schlüsselverwaltungsdienst des Kunden auf, um den KEK zu erhalten, der zum Entschlüsseln des EDEK benötigt wird, und um den DEK zu erzeugen, der dann zum Entschlüsseln der Daten verwendet wird.
  • Der interne Schlüssel von UiPath – wird zum Verschlüsseln von Datenspalten verwendet, einschließlich des CMK und des KMS DEK.

Dieses Diagramm veranschaulicht, wie die verschiedenen Komponenten, die an der Aktivierung von kundenseitig verwalteten Schlüsseln beteiligt sind, zusammenarbeiten:



Aktivieren des kundenverwalteten Schlüssels

Warnung:

Die Aktivierung dieser Funktion hat schwerwiegende Auswirkungen auf den Datenzugriff. Sollten Probleme mit dem Schlüssel auftreten, besteht die Gefahr, dass Sie den Zugriff auf Ihre Daten verlieren.

So erstellen Sie die erforderlichen Anmeldeinformationen und aktivieren diese Option:

  1. Erstellen Sie die erforderlichen Anmeldeinformationen in Azure Key Vault.
    Hinweis:
    • Der Schlüsseltresor kann in jeder Region erstellt werden, es wird jedoch empfohlen, dass er sich auf dieselbe Region wie Ihre Organisation bezieht.
    • UiPath erhält Zugriff auf den Schlüsseltresor, der für den kundenseitig verwalteten Schlüssel verwendet wird. Daher empfehlen wir, einen ausschließlich für diesen Zweck bestimmten Tresor zu erstellen.
    • Diese Funktion unterstützt jede Schlüsselgröße, die in einem Schlüsseltresor konfiguriert werden kann.
    • Wir unterstützen nur Zugriffsrichtlinien für den Key Vault zum Steuern des Zugriffs auf Azure-Ressourcen. Diese Richtlinien müssen mit den Berechtigungen Wrap Key und Unwrap Key für kryptografische Vorgänge und geheimen Berechtigungen Get und Set für die Verwaltung von geheimen Schlüsseln konfiguriert werden.
    docs image
  2. Melden Sie sich als Organisationsadministrator bei der Automation Cloud an.
  3. Wechseln Sie zu Administrator, wählen Sie den Namen der Organisation im linken Bereich aus und klicken Sie dann auf Sicherheit.
    Die Seite Sicherheitseinstellungen wird angezeigt.


  4. Wählen Sie im Abschnitt Verschlüsselung unter Verschlüsselungstyp die Option Kundenseitig verwalteter Schlüssel aus.
    Das Fenster Konfiguration des kundenseitig verwalteten Schlüssels wird angezeigt.
    docs image
  5. Geben Sie die erforderlichen Details ein, wie im Azure-Portal definiert:
    1. Azure Verzeichnis-ID (Mandant) (erstellt als Teil der App-Registrierung in Azure):

    2. Azure Anwendung-ID (Client) (erstellt als Teil der App-Registrierung in Azure):

    3. Geheimer Clientschlüssel (erstellt als Teil der App-Registrierung in Azure) oder Zertifikat (im Azure Key Vault erstellt und während der App-Registrierung in Azure hochgeladen):

      Wenn Sie sich für das Zertifikat entscheiden, stellen Sie sicher, dass es korrekt eingerichtet ist, wie unter Einrichten eines Azure Key Vault-Zertifikats beschrieben.
    4. Schlüsselbezeichner des Geheimnisses oder Zertifikats (erstellt in Azure Key Vault):

      Wichtig: Obligatorisch: Stellen Sie sicher, dass Sie die Optionen Schlüssel packen und Schlüssel entpacken auswählen, um die Verwendung dieses Elements als kundenseitig verwalteter Schlüssel zuzulassen.
  6. Klicken Sie auf Testen und speichern.
    Eine Bestätigungsmeldung wird angezeigt, die Sie darüber informiert, dass Sie Ihren eigenen Verschlüsselungsschlüssel konfiguriert haben.


    Wenn Sie stattdessen eine Fehlermeldung erhalten, überprüfen Sie Ihre Anmeldeinformationen und versuchen Sie es erneut.
Hinweis:

Die Weitergabe des neuen kundenseitig verwalteten Schlüssels nach der Erstellung kann 15 Minuten dauern. Dies liegt daran, dass unser interner Cache aus Leistungsgründen verhindert, dass derselbe Schlüssel wiederholt weitergegeben wird.

Beim Orchestrator dauert der Caching-Zyklus für den externen Schlüsselabruf eine Stunde; darüber hinaus beträgt der Caching-Zyklus für die interne Verwendung weitere 15 Minuten.

Einrichten eines Azure Key Vault-Zertifikats für UiPath

Die Verschlüsselung mit einem kundenseitig verwalteten Schlüssel kann mit einem geheimen Schlüssel oder einem Zertifikat erfolgen. Weitere Informationen zum Einrichten von Zertifikaten finden Sie unter Konfigurieren und Abrufen eines Zertifikats im Azure Key Vault in der Microsoft-Dokumentation. Führen Sie die folgenden Schritte auf hoher Ebene aus, um ein Azure Key Vault-Zertifikat für die Verschlüsselung einzurichten:

  1. Melden Sie sich bei Azure Key Vault an und navigieren Sie zum Abschnitt Zertifikate .

  2. Erstellen Sie ein Zertifikat mit dem Antragsteller als CN=uipath.com und dem Inhaltstyp als PEM.
    docs image
  3. Laden Sie das Zertifikat nach der Erstellung im PFX/PEM-Format herunter. Speichern Sie auch den Schlüsselbezeichner für die spätere Verwendung.
    docs image
  4. Öffnen Sie die Datei .pem mit einem Texteditor. Er muss aus zwei Abschnitten bestehen: BEGIN PRIVATE KEY/END PRIVATE KEY und BEGIN CERTIFICATE/END CERTIFICATE.
    docs image
  5. Erstellen Sie eine neue .pem -Datei, die nur die Zeilen zwischen BEGIN CERTIFICATE und END CERTIFICATE.enthält.
  6. Suchen Sie im Azure-Portal die Registerkarte Zertifikate und Geheimschlüssel in Ihrer App-Registrierung und laden Sie die neue .pem -Datei hoch.
    docs image
  7. In der Automation Cloud müssen Sie als Teil der kundenseitig verwalteten Schlüsselkonfiguration den gesamten Inhalt des heruntergeladenen .pem -Zertifikats aus Azure Key Vault im Feld Geheimer Clientschlüssel oder -zertifikat hinzufügen und den Schlüsselbezeichner hinzufügen, der in Azure Key Vault gefunden wurde .

Bearbeiten des kundenverwalteten Schlüssels

Sobald Sie diese Option aktivieren, können Sie auch alle Details im Zusammenhang mit der Verbindung bearbeiten. Klicken Sie dazu unter der Option Kundenseitig verwalteter Schlüssel auf Verbindung bearbeiten und ändern Sie alle Informationen nach Bedarf.

Schlüsselrotation

Es empfiehlt sich, Ihre Schlüssel routinemäßig zu rotieren, um den kontinuierlichen Schutz Ihrer verschlüsselten Daten vor möglichen Sicherheitsverletzungen zu gewährleisten.

Die automatische Rotation kann im Azure Key Vault konfiguriert werden, aber Sie müssen die kundenseitig verwalteten Schlüsselinformationen für Ihre Automation CloudTM -Organisation weiterhin manuell aktualisieren:

  1. Erstellen Sie einen neuen Schlüssel in Ihrem aktuellen Azure Key Vault oder in einem neuen Tresor.
  2. Kehren Sie zur Seite Sicherheitseinstellungen für Ihre Automation CloudTM -Organisation zurück.
  3. Klicken Sie unter Kundenseitig verwalteter Schlüssel auf Verbindung bearbeiten und fügen Sie dann die Details für den neuen Schlüssel hinzu, den Sie erstellt haben.

Die Schlüsselrotation funktioniert nur, wenn sowohl der alte als auch der neue Schlüssel noch gültig sind.

Schlüsselrotationsprüfung: Sie können alle Änderungen an kundenseitig verwalteten Schlüsseln auf der Seite Prüfung im Orchestrator auf Mandantenebene sehen.

Lizenz-Downgrade

Wenn Ihr Enterprise-Plan abläuft, werden Sie automatisch auf den Free-Plan herabgestuft. Folgendes können Sie in Bezug auf die Datenverschlüsselung erwarten:

  • Die Option Kundenseitig verwalteter Schlüssel ist immer noch für Sie aktiviert, aber in der Benutzeroberfläche ausgegraut. Daher können Sie die Werte nicht mehr bearbeiten, z. B. die Details des Schlüsseltresors ändern.
  • Sie können zum verwalteten UiPath-Schlüssel (Standard) wechseln, aber Sie können erst dann zum kundenseitig verwalteten Schlüssel zurückkehren, wenn Ihr Plan auf Enterprise aktualisiert wurde.

Best Practices für die Verwendung von kundenseitig verwalteten Schlüsseln

Bevor Sie mit der Verwendung von kundenseitig verwalteten Schlüsseln beginnen, müssen Sie einige wichtige Details beachten:

  • Sobald Sie im Rahmen der Schlüsselrotation einen neuen Schlüssel verwenden, kann der alte nicht mehr für den Zugriff und die Verschlüsselung von Daten verwendet werden. Daher ist es wichtig, alte Schlüssel im Schlüsseltresor aufzubewahren, d. h. sie zu deaktivieren, anstatt sie zu löschen. Dies ist besonders wichtig in Notfallwiederherstellungsszenarien, in denen UiPath möglicherweise zu einer Sicherung einer älteren Version der Datenbank zurückkehren muss. Wenn diese Sicherung einen Ihrer alten Schlüssel verwendet, können Sie zu diesem wechseln, um den Datenzugriff wiederherzustellen.

    Wenn Sie einen Schlüssel entfernen möchten, ist es wichtig, dass Sie die Funktion zum vorläufigen Löschen verwenden.

  • Wenn Sie Ihren Schlüssel verlieren, können Sie keine Verbindung mehr zum Tresor herstellen. Sie sollten daher gemäß den Sicherheitsrichtlinien Ihrer Organisation immer eine Sicherung des Schlüssels im Azure-Portal oder in einem von Azure getrennten sicheren Schlüsseltresor erstellen.
  • Wenn Sie Single Sign-On für den Zugriff auf UiPath-Dienste nutzen, können Sie erwägen, ein lokales Konto zu erstellen, das als Break-Glass-Konto fungiert. Da die Informationen des externen Identitätsanbieters in den Daten enthalten sind, die durch den kundenseitig verwalteten Schlüssel verschlüsselt werden, ist kein Zugriff auf SSO-Konten möglich, sollte Ihr Schlüsseltresor nicht mehr erreichbar sein.
  • Aus Sicherheitsgründen sollten Benutzer, die nicht über Administratorrechte auf oberster Ebene verfügen, keine Bereinigungsrechte für den kundenseitig verwalteten Schlüssel haben.
  • Wenn Sie nicht mehr möchten, dass UiPath auf Ihre Daten zugreifen kann, können Sie den Schlüssel aus dem Azure Key Vault deaktivieren, wie in der Abbildung unten gezeigt:



    Erfahren Sie mehr über Azure Key Vault-Wiederherstellungsaktionen.

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten