automation-suite
2023.10
true
Automation Suite auf EKS/AKS-Installationsanleitung
Last updated 4. Okt. 2024

Sicherheit und Compliance

Sicherheitskontext für UiPath®-Dienste

Dieser Abschnitt enthält Details zum Sicherheitskontext der UiPath® Dienste.

Alle UiPath®-Dienste werden mit einem Sicherheitskontext konfiguriert, der im Abschnitt spec definiert ist. Das folgende Beispiel zeigt die Konfiguration für alle Dienste mit Ausnahme von du-cjk-ocr:
spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false
Im Fall des Dienstes du-cjk-ocr lautet der Wert des Parameters readOnlyRootFilesystem false. Weitere Informationen zu du-cjk-ocr finden Sie in der Document Understanding-Dokumentation.

In einigen Fällen können die Benutzer-IDs und Gruppen-IDs größer oder gleich 1000 sein. Solche Werte sind je nach Umgebung zulässig. Es ist wichtig, dass Sie die Benutzer- und Gruppen-IDs gemäß Ihren Sicherheitsprinzipien und den Sicherheitsrichtlinien Ihrer Organisation konfigurieren.

Gatekeeper- und OPA-Richtlinien

Automation Suite ist mit Gatekeeper und OPA-Richtlinien vorkonfiguriert. Wenn Sie Ihre eigene Gatekeeper-Komponente und OPA-Richtlinien verwenden, können Sie diese Komponenten bei der Automation Suite-Installation überspringen. Weitere Informationen finden Sie unter Automation Suite-Stack. Überprüfen Sie in diesem Fall die OPA-Richtlinien und die Ausnahmen, die für die Installation und Ausführung der Automation Suite erforderlich sind.

Standardmäßig werden diese Richtlinien nur in den folgenden UiPath®-Namespaces ausgeführt: -uipath, uipath-installer, uipath-infra, airflow und argocd.

OPA-Richtlinien

Policy

Actions

Auszuschließende Namespaces/Images

Steuert die Einschränkung der Eskalation auf Stammberechtigungen. Entspricht dem Feld allowPrivilegeEscalation in einer PodSecurityPolicy

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • uipath-check

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Konfiguriert eine Zulassungsliste von Apparmor-Profilen für die Verwendung durch Container. Dies entspricht bestimmten Anmerkungen, die auf eine PodSecurityPolicy angewendet werden.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Steuert Linux-Funktionen auf Containern. Entspricht den Feldern allowedCapabilities und requiredDropCapabilities in einer PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-check

  • kube-system

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Steuert die Zulassungsliste für FlexVolume-Treiber. Entspricht dem Feld allowedFlexVolumes in PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Steuert die Zuweisung einer FSGroup, die die Volumes des Pods besitzt. Entspricht dem Feld fsGroup in einer PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • uipath-check

Steuert die Verwendung des Host-Dateisystems. Entspricht dem Feld allowedHostPaths in einer PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Die Freigabe von Host-PID- und IPC-Namespaces durch Pod-Container ist nicht zulässig. Entspricht den Feldern hostPID und hostIPC in einer PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Steuert die Verwendung des Hostnetzwerk-Namespace durch Pod-Container.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • uipath-check

Steuert, ob ein Container den privilegierten Modus aktivieren kann. Entspricht dem Feld privileged in einer PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • uipath-check

Steuert die zulässigen procMount -Typen für den Container. Entspricht dem Feld allowedProcMountTypes in einer PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Erfordert die Verwendung eines schreibgeschützten Stammdateisystems durch Pod-Container.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • uipath-check

Steuert das von Containern verwendete Seccomp-Profil. Entspricht der Anmerkung seccomp.security.alpha.kubernetes.io/allowedProfileNames in einer PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • uipath-check

Definiert eine Zulassungsliste von seLinuxOptions-Konfigurationen für Pod-Container.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Steuert die Benutzer- und Gruppen-IDs des Containers und einiger Volumes.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • velero

  • uipath-check

Schränkt einhängbare Volume-Typen auf die vom Benutzer angegebenen Typen ein.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • velero

  • uipath-check

Hinweis:
  • Der dapr-system-Namespace wird nur benötigt, wenn Sie Process Mining und Task Mining installieren.
  • Der airflow-Namespace wird nur benötigt, wenn Sie Process Mining installieren.

Andere OPA-Richtlinien

Policy

Actions

Auszuschließende Namespaces/Images

Steuert die Möglichkeit eines Pods, automountServiceAccountTokenzu aktivieren.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • uipath-check

Erfordert, dass Container-Images mit einer Zeichenfolge aus der angegebenen Liste beginnen.

dryrun

  • registry.uipath.com

  • registry-data.uipath.com

deny

Keine Angabe

Lässt nicht alle Dienste vom Typ „Lastausgleich“ zu.

deny

  • kube-system

Lässt nicht alle Dienste vom Typ NodePort zu.

deny

  • istio-system

  • Network-Prereq-Checks

Benutzer dürfen keine Ingress-Dateien mit einem leeren Hostnamen oder einem Platzhalter (*) erstellen können, da dies ihnen ermöglichen würde, den Datenverkehr für andere Dienste im Cluster abzufangen, auch wenn sie keinen Zugriff auf diese Dienste haben.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

Erfordert, dass für Container Speicher- und CPU-Grenzwerte festgelegt sind. Schlägt Grenzen so ein, dass sie innerhalb der angegebenen Maximalwerte liegen.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • uipath-check

Erfordert, dass für Container Speicher- und CPU-Anforderungen festgelegt sind. Schränkt Anforderungen ein, damit sie innerhalb der angegebenen Maximalwerte liegen.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • uipath-check

Legt ein maximales Verhältnis für Containerressourcenlimits zu Anforderungen fest.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • prereq**

Erfordert, dass Container definierte Ressourcen festgelegt haben.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • uipath-check

Verknüpfen von ClusterRole- und Rollenressourcen mit dem Benutzer system:anonymous und der Gruppe system:unauthenticated nicht möglich.

deny

Keine Angabe

Erfordert, dass Container-Images ein anderes Bild-Tag als die in der angegebenen Liste haben.

deny

Keine Angabe

Erfordert, dass für Container ein vorübergehendes Speicherlimit festgelegt ist, das innerhalb der angegebenen Maximalwerte liegt.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Standard

  • istio-system

  • Zertifikatsmanager

  • Überwachung

  • Airflow

  • uipath-check

deny

Keine Angabe

Erfordert, dass nur HTTPS-Ingress-Ressourcen verwendet werden können. Ingress-Ressourcen müssen die Anmerkung kubernetes.io/ingress.allow-http enthalten, die auf falsefestgelegt ist. Standardmäßig ist eine gültige TLS {}-Konfiguration erforderlich. Dies kann optional gemacht werden, indem der Parameter tlsOptional auf truewird.

dryrun

  • Überwachung

Erfordert, dass Container-Images einen Digest enthalten.

dryrun

  • UiPath

Blockiert die Aktualisierung des Dienstkontos auf Ressourcen, die über Pods abstrahieren. Diese Richtlinie wird im Prüfungsmodus ignoriert.

dryrun

Keine Angabe

deny

  • Airflow

Erfordert, dass Pods Bereitschafts- und/oder Aktivitätstests haben.

dryrun

  • UiPath

Erfordert, dass Speicherklassen bei Verwendung angegeben werden.

dryrun

Keine Angabe

Erfordert, dass alle Ingress-Regelhosts eindeutig sind.

dryrun

Keine Angabe

Erfordert, dass Dienste eindeutige Selektoren innerhalb eines Namespace haben. Selektoren gelten als identisch, wenn sie identische Schlüssel und Werte haben. Selektoren können ein gemeinsames Schlüssel-/Wertpaar haben, solange sich mindestens ein eindeutiges Schlüssel-/Wertpaar befindet.

dryrun

Keine Angabe

Hinweis:
  • Der dapr-system-Namespace wird nur benötigt, wenn Sie Process Mining und Task Mining installieren.
  • Der airflow-Namespace wird nur benötigt, wenn Sie Process Mining installieren.
  • prereq** sind temporäre Namespaces, die beim Ausführen einer Voraussetzungs- oder Zustandsprüfung erstellt wurden. Die Namespaces löschen sich nach Abschluss selbst.

Netzwerkrichtlinien

Die Automation Suite ist mit standardmäßigen Kubernetes-Netzwerkrichtlinien vorkonfiguriert, um dem Prinzip des Netzwerkzugriffs mit den geringsten Berechtigungen zu folgen. Sie können die Installation der von UiPath bereitgestellten Netzwerkrichtlinien überspringen, indem Sie network-policies unter der Liste exclude components in input.json hinzufügen. Weitere Informationen zu optionalen Komponenten finden Sie unter Automation Suite-Stack.
Die Automation Suite erzwingt das Netzwerk von, nach und innerhalb des uipath-Namespace. Wenn Sie Ihre eigenen Netzwerkrichtlinien mitbringen oder ein benutzerdefiniertes CNI haben (z. B. Cilium Enterprise oder Citizena Taberna Enterprise), stellen Sie sicher, dass Sie Ihre Richtlinien aktualisieren, um das Helm-Diagramm network-policies widerzuspiegeln.
Sie können das Helm-Diagramm network-policies der Automation Suite finden, indem Sie den folgenden Befehl ausführen.
Hinweis:
  • Sie müssen <automation-suite-version> im folgenden Befehl durch Ihre aktuelle Automation Suite-Version ersetzen.
  • Sie müssen die Datei entpacken, um das Helm-Diagramm zu extrahieren.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

Anforderungen an Clusterberechtigungen

Clusteradministratorzugriff ist für uipathctl auf Ihrem Verwaltungsknoten erforderlich, um die Automation Suite in Ihrem dedizierten Cluster zu installieren und zu verwalten. Diese Zugriffsebene wird für Komponenten auf Systemebene in der Automation Suite benötigt, z. B. Istio (Routing-/Dienstgeflecht) und ArgoCD (Bereitstellung und Anwendungslebenszyklusverwaltung), sowie zum Erstellen von Namespaces im Zusammenhang mit der Automation Suite.

FIPS 140-2

Die FIPS 140-2 (Federal Information Processing Standards 140-2) sind ein Sicherheitsstandard, der die Effektivität von kryptografischen Modulen überprüft.

Die Automation Suite auf AKS kann auf FIPS 140-2-fähigen Knoten ausgeführt werden.

Sie können FIPS 140-2 auf den AKS-Knoten aktivieren, auf denen Sie die Automation Suite in den folgenden Szenarien installieren:

  1. Szenario 1: Neuinstallationen​​ – Aktivieren Sie FIPS 140-2, bevor Sie eine Neuinstallation der Automation Suite 2023.4 oder höher durchführen.
  2. Szenario 2: vorhandene Installationen​​ – Aktivieren Sie FIPS 140-2, nachdem Sie eine Automation Suite-Installation auf einer Maschine durchgeführt haben, bei der FIPS 140-2 deaktiviert ist.

Szenario 1: Neue Installationen

Führen Sie die folgenden Schritte aus, um FIPS 140-2 auf den Maschinen zu aktivieren, auf denen Sie eine Neuinstallation der Automation Suite durchführen möchten:

  1. Bevor Sie die Installation der Automation Suite starten, aktivieren Sie FIPS 140-2 auf Ihren Maschinen.
  2. Führen Sie die Automation Suite-Installation durch, indem Sie die Installationsanweisungen in dieser Anleitung befolgen.
    • Wenn Sie das AI Center auf einer FIPS 140-2-fähigen Maschine installieren und auch dem Microsoft SQL-Server verwenden, sind einige zusätzliche Konfigurationen erforderlich. Weitere Informationen finden Sie unter SQL-Anforderungen für das AI Center.
    • Stellen Sie sicher, dass Insights deaktiviert ist, da es von FIPS 140-2 nicht unterstützt wird.
  3. Legen Sie das fips_enabled_nodes-Flag in der input.json-Datei auf true fest.
  4. Stellen Sie sicher, dass Ihre Zertifikate FIPS 140-2-konform sind.
    Hinweis:

    Standardmäßig generiert die Automation Suite selbstsignierte FIPS 140-2-kompatible Zertifikate, deren Ablaufdatum vom von Ihnen gewählten Automation Suite-Installationstyp abhängt.

    Es wird dringend empfohlen, diese selbstsignierten Zertifikate bei der Installation durch Zertifikate von Zertifizierungsstellen zu ersetzen. Um die Automation Suite auf FIPS 140-2-fähigen Maschinen verwenden zu können, müssen die neu bereitgestellten Zertifikate FIPS 140-2-kompatibel sein. Eine Liste der in Frage kommenden Verschlüsselungen, die von RHEL unterstützt werden, finden Sie in der RHEL-Dokumentation.

    Weitere Informationen zum Hinzufügen Ihrer eigenen FIPS 140-2-konformen Tokensignatur- und TLS-Zertifikate finden Sie unter Zertifikatkonfiguration.

Szenario 2: Vorhandene Installationen

Sie können die Automation Suite auf Maschinen mit deaktiviertem FIPS 140-2 installieren und dann den Sicherheitsstandard auf denselben Maschinen aktivieren. Dies ist auch möglich, wenn Sie auf eine neue Automation Suite-Version aktualisieren.

Führen Sie die folgenden Schritte aus, um FIPS 140-2 auf den Maschinen zu aktivieren, auf denen Sie bereits eine Automation Suite-Installation durchgeführt haben:

  1. Führen Sie eine reguläre Automation Suite-Installation oder ein Upgrade auf Maschinen durch, bei denen FIPS 140-2 deaktiviert ist.
  2. Aktivieren Sie FIPS 140-2 auf allen Ihren Maschinen.
  3. Stellen Sie sicher, dass Ihre Zertifikate FIPS 140-2-konform sind.
    Hinweis:

    Um die Automation Suite auf FIPS 140-2-fähigen Maschinen zu verwenden, müssen Sie Ihre Zertifikate durch neue FIPS 140-2-kompatible Zertifikate ersetzen, die von einer Zertifizierungsstelle signiert wurden. Eine Liste der in Frage kommenden Verschlüsselungen, die von RHEL unterstützt werden, finden Sie in der RHEL-Dokumentation.

    Weitere Informationen zum Hinzufügen Ihrer eigenen FIPS 140-2-konformen Tokensignatur- und TLS-Zertifikate finden Sie unter Zertifikatkonfiguration.

    Weitere Informationen zu Zertifikaten finden Sie unter „Verwalten der Zertifikate“.

  4. Stellen Sie sicher, dass Ihre Produktauswahl den FIPS 140-2-Anforderungen entspricht:
    • Wenn Sie das AI Center auf einer FIPS 140-2-fähigen Maschine installieren und auch dem Microsoft SQL-Server verwenden, sind einige zusätzliche Konfigurationen erforderlich. Weitere Informationen finden Sie unter SQL-Anforderungen für das AI Center.
    • Wenn Sie Insights zuvor aktiviert haben, müssen Sie es deaktivieren, da es von FIPS 140-2 nicht unterstützt wird. Weitere Informationen zum Deaktivieren von Produkten nach der Installation finden Sie unter Verwalten von Produkten.
  5. Starten Sie Ihre Maschinen neu und überprüfen Sie, ob Sie FIPS 140-2 erfolgreich aktiviert haben.
  6. Führen Sie das uipathctl-Installationsprogramm erneut aus.

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten