Orchestrator-Anleitung

Eine RemoteServer-Konfiguration definiert eine Verbindung mit einem externen HTTP(S)-Endpunkt (für MCP-StreamableHttp-Transport). Die Sicherheitskonsequenz ist, dass alle Daten, die an diesen externen Dienst gesendet oder von ihm empfangen werden, außerhalb des direkten Steuerelements von UiPath liegen.Wenn der RemoteServer eine Authentifizierung erfordert (API-Schlüssel, Token usw.), können Benutzer versucht sein, diese Geheimnisse direkt in die HTTP-Header oder URLs einzubetten. Das direkte Speichern von Geheimnissen in der Konfiguration ist riskant – obwohl der UiPath-MCP-Dienst solche vertraulichen Header-Werte in der UI maskiert und im Ruhezustand in der Datenbank verschlüsselt, durchlaufen sie dennoch das System und können offengelegt werden, wenn sie nicht richtig behandelt werden.Darüber hinaus sind Felder wie die Endpunkt-URL, die Body-Nutzlast oder Abfrageparameter in der Datenbank nicht verschlüsselt, sodass keine vertraulichen Daten in diese Felder eingegeben werden sollten. Daten, die an einen externen Endpunkt gesendet werden, können abgefangen oder missbraucht werden, wenn der Endpunkt kompromittiert wird oder wenn die Kommunikation nicht sicher ist. Kurz gesagt, RemoteServer erweitern Ihre Automatisierung in externe Netzwerke, sodass Sie sicherstellen müssen, dass diese Endpunkte vertrauenswürdig sind und dass keine Geheimnisse oder vertraulichen Informationen bei der Übertragung verloren gehen.

CodedServer beziehen sich auf benutzerdefinierten Code (z. B. ein Python-Skript oder Programm), den Sie packen und als Teil eines Agents ausführen, während CommandServer Shell-Befehle oder Skripte in einer serverlosen Runtime ausführen. Beide führen von Benutzern bereitgestellte Logik in flüchtigen serverlosen Containern aus, die von UiPath orchestriert werden. Aus Sicherheitssicht bedeutet dies, dass Ihr Code mit bestimmten Berechtigungen innerhalb der UiPath-Cloud-Umgebung ausgeführt wird – insbesondere wird er im Kontext Ihrer Organisation ausgeführt und ein Authentifizierungstoken (Bearer-Token) in Bezug auf Ihre Organisation/Ihren Benutzer zum Rückaufrufen von UiPath-Diensten übertragen.Die Hauptimplikation ist, dass jedem Code, den Sie ausführen, von Natur aus mit diesem Token und möglicherweise anderen Umgebungsvariablen vertraut wird.Wenn Sie schädlichen oder nicht verifizierten Code ausführen, kann er das Token oder andere vertrauliche Informationen stehlen und nicht autorisierte Vorgänge ausführen. Nicht vertrauenswürdiger Code darf niemals in CodedServers/CommandServers verwendet werden, da er Daten exfiltern oder die gewährten Berechtigungen missbrauchen könnte. Selbst gut gemeinter Code kann Schwachstellen aufweisen, die Angreifer ausnutzen, um Zugriff zu erhalten. Darüber hinaus können diese Container Zugriff auf bestimmte Umgebungsvariablen (für Konfiguration, Anmeldeinformationen usw.) haben, die als vertrauliche Oberflächen betrachtet werden sollten – bösartiger Code kann sie im Speicher lesen.

Zusammenfassend bedeutet die Ausführung von benutzerdefiniertem Code oder Befehlen, dass Sie die Risiken des Verhaltens dieses Codes eingehen. Nur sehr vertrauenswürdiger, überprüfter Code sollte bereitgestellt werden, und er sollte sicheren Codierungspraktiken folgen.

Über diese spezifischen Komponenten hinaus führt die MCP-Verwendung ein Modell der gemeinsamen Verantwortung ein: UiPath bietet die Plattformsicherheit (isolierte Ausführungscontainer, Verschlüsselung von Daten im Ruhezustand, Netzwerkschutz und Compliance-Zertifizierungen für die Cloud-Plattform). Sie sind jedoch für die Sicherheit aller externen Systeme, die Sie verbinden, und der Inhalte, die Sie ausführen, verantwortlich. In den folgenden Abschnitten werden bewährte Verfahren beschrieben, um Ihrer Seite dieser Verantwortung gerecht zu werden.

Es wird dringend empfohlen, vertrauliche Geheimnisse (API-Schlüssel, Token, Anmeldeinformationen) nicht direkt in RemoteServer-Konfigurationen zu speichern. Während die Plattform geheime Header-Werte im Ruhezustand verschlüsselt und sie in der Benutzeroberfläche maskiert, ist dieser Ansatz nicht ideal. Geheimnisse in der Konfiguration können weiterhin in Protokollen angezeigt werden oder versehentlich offengelegt werden, und keine anderen Felder mit Ausnahme der ausgewiesenen Geheimnis-Header sind verschlüsselt. Platzieren Sie keine vertraulichen Daten in Klartext in Feldern wie URLs, Abfrageparameter oder Anforderungskörper.

Empfohlener Ansatz

Verwenden Sie Orchestrator-Assets vom Typ „Geheimnis“, um vertrauliche Schlüssel zu verwalten und in Ihren RemoteServer-Headern oder Parametern darauf zu verweisen.

Speichern Sie zum Beispiel einen API-Schlüssel in einem Asset mit dem Namen MY_API_KEY (Assets in Orchestrator werden im Ruhezustand standardmäßig verschlüsselt). Verwenden Sie in der RemoteServer-Header-Konfiguration anstatt des Schlüsselwerts einen Platzhalter-Verweis: Autorisierung: Bearer %Assets/MY_API_KEY%. Wenn der Agent ausgeführt wird, ersetzt die Plattform das tatsächliche Geheimnis zur Laufzeit.

Auf diese Weise wird das Geheimnis niemals in Klartext in den RemoteServer-Einstellungen gespeichert – es bleibt sicher im Tresor.Die Benutzeroberfläche zeigt nur einen maskierten Platzhalter an. Diese Vorgehensweise verhindert die versehentliche Offenlegung von Geheimnissen und entspricht dem Prinzip, keine hartcodierten Anmeldeinformationen zu verwenden.

Unterm Strich: Halten Sie Geheimnisse aus Ihrem Agent-Code und Ihren Konfigurationen heraus.Zentralisieren Sie sie in sicheren Stores. Rotieren Sie API-Schlüssel regelmäßig und betten Sie Geheimnisse niemals direkt in Code oder HTTP-Anfragen ein.

Beim Konfigurieren von RemoteServers nur eine Verbindung mit vertrauenswürdigen externen Endpunkten herstellen. Jeder RemoteServer sollte auf eine Domäne oder einen Dienst verweisen, den Ihre Organisation auf Sicherheit, Datenschutz und Compliance überprüft hat.Behandeln Sie eine neue API oder einen Dienst eines Drittanbieters wie einen Anbieter. Stellen Sie sicher, dass sie Ihre Sicherheitsstandards erfüllt (z. B. über geeignete Zertifizierungen verfügt, Verschlüsselung verwendet und Ihre Daten entsprechend behandelt).

Wichtiger Punkt: Behandeln Sie externe Anrufe als Erweiterungen Ihrer IT-Umgebung. Überprüfen Sie die Sicherheit des externen Diensts (SSL/TLS aktiviert, keine selbstsignierten oder abgelaufenen Zertifikate usw.) und senden Sie nur Daten an ihn, wenn Sie ihm vertrauen. Ein kompromittierter oder betrügerischer Endpunkt könnte Daten stehlen oder schädliche Antworten einleiten, daher ist eine Due Diligence bei externen Servern Kritisch.

Bei CodedServers und CommandServers hängt die Sicherheit weitgehend von dem von Ihnen ausgeführten Code ab. Führen Sie niemals nicht vertrauenswürdigen Code oder Code von Drittanbietern ohne gründliche Überprüfung aus.Die Agent-Container führen Ihren Code mit einem Zugriffstoken aus, das UiPath-APIs (und möglicherweise andere Integrationen) aufrufen kann. Bösartiger Code kann dieses Bearer-Token oder andere Umgebung Geheimnisse erfassen und exfiltrieren oder Actions über die Plattform-APIs ausführen.Es könnte auch versuchen, die Container-Runtime auszunutzen, obwohl die serverlosen Container von UiPath isoliert sind und standardmäßig nicht mit erhöhten Berechtigungen ausgeführt werden.

Zusammenfassend sollten Sie die Codeausführungsumgebung des Agents wie einen Produktionsserver mit vertraulichem Zugriff behandeln: Führen Sie nur vertrauenswürdigen Code aus, befolgen Sie sichere Codierungspraktiken und führen Sie Sicherheitstests durch. Die Plattform von UiPath bietet eine sichere Sandbox und stellt sicher, dass Code im Kontext Ihres Kontos ausgeführt wird, aber sie überprüft oder sandboxt die Logik Ihres Codes nicht auf detaillierter Ebene. Diese Verantwortung liegt bei Ihnen.

Senden Sie keine vertraulichen Daten an externe Tools, es sei denn, dies ist unbedingt erforderlich. Alle Daten, die die UiPath platform zu einer externen API oder einem Dienst verlassen, sollten als gefährdet betrachtet werden.Wenn möglich, maskieren oder entfernen Sie personenbezogene Daten oder regulierte Informationen, bevor Sie sie an einen RemoteServer senden. Wenn ein Agent beispielsweise Kundendaten über eine externe KI-API zusammenfasst, sollten Sie das Entfernen oder Anonymisieren von Bezeichnern im Prompt in Betracht ziehen.Diese Praxis der Datenminimierung stellt die Einhaltung von Datenschutzbestimmungen (DSGVO, HIPAA usw.) sicher, indem geschützte Daten keinen Systemen ausgesetzt werden, die möglicherweise nicht unter diese Vereinbarungen fallen.

Wenn Sie vertrauliche Informationen senden müssen, stellen Sie sicher, dass der externe Anbieter vertraglich den Datenschutz garantiert (d. h. die Daten werden nicht gespeichert oder für andere Zwecke verwendet). Überprüfen Sie die Datenresidenz des externen Diensts – das Senden von Daten an einen Endpunkt in einer anderen Region kann gegen die Richtlinien Ihres Unternehmens verstoßen, wenn nicht berücksichtigt wird. Richten Sie Ihre Verwendung externer Endpunkte immer an den Compliance-Anforderungen Ihrer Organisation aus (stellen Sie beispielsweise sicher, dass der Drittanbieterdienst über Zertifizierungen wie SOC 2, ISO 27001 oder andere relevante für Ihre Branche verfügt).

Innerhalb der UiPath platform werden alle Agent-Aktivitäten protokolliert, einschließlich der Toolnutzung und der an Tools übergebenen Daten, soweit möglich.Nutzen Sie diese Protokolle, um sicherzustellen, dass keine unbeabsichtigten Daten gesendet werden. Überprüfen Sie regelmäßig, welche Informationen Ihre Agents verarbeiten und extern senden. Wenn Sie zum Beispiel feststellen, dass ein Agent eine Sozialversicherungsnummer in einer Anfrage an einen RemoteServer enthält, sollten Sie die Logik des Agents überarbeiten, um solche Daten zu hashen oder zu entfernen.

Wenn Sie codierte/Befehls-MCP-Server verwenden, liegt die Protokollierung in Ihrer Verantwortung. Protokollieren Sie niemals vertrauliche Daten wie PII oder Sicherheitsinformationen.

Beachten Sie auch Ausgabedaten von externen Diensten. Eine externe KI oder ein Skript kann vertrauliche Info (oder sogar bösartigen Inhalt) zurückgeben.Implementieren Sie eine Validierung von Ausgaben, wenn möglich. Wenn ein RemoteServer beispielsweise eine Antwort zurückgibt, die in einer Entscheidung verwendet wird, stellen Sie sicher, dass die Antwort im erwarteten Format und im erwarteten Bereich vorliegt. Dies schützt vor Manipulation oder unerwartetem Verhalten durch externe Systeme.

Kurz gesagt, behandeln Sie externe Integrationen als Teil Ihrer Datenflussdiagramme für Compliance – dokumentieren Sie, welche Daten die Plattform verlassen und über welchen Dienst dies geschieht.Dies ist bei Risikobewertungen und Audits hilfreich. Es ist immer besser, die minimale Menge an Informationen zu teilen, die für die Aufgabe erforderlich sind (Prinzip der Notwendigkeit der Kenntnis für Daten).

Der Zugriff auf das Konfigurieren und Verwenden von MCP-Integrationen sollte streng kontrolliert werden.Nur Administrators oder vertrauenswürdige Benutzer sollten in der Lage sein, RemoteServers-, CodedServers- oder CommandServers-Konfigurationen zu erstellen oder zu ändern.Nutzen Sie die rollenbasierte Steuerelement (RBAC) von Orchestrator, um diese Funktionen einzuschränken.Zum Beispiel könnten Sie eine bestimmte Rolle für „Agent Integrations Manager“ haben und sie nur Mitgliedern Ihres Kompetenzzentrums oder IT-Sicherheitsteams zuweisen. Dies verhindert, dass gewöhnliche Automation Developers oder Geschäftsanwender versehentlich unsichere Verbindungen hinzufügen oder willkürlichen Code ausführen.Jeder neue MCP-Server oder Agent-Tool, der hinzugefügt wird, sollte einen Überprüfungsprozess durchlaufen.

Erzwingen Sie beim Zuweisen von Rollen und Berechtigungen das Prinzip der geringsten Berechtigung. Definieren Sie eng begrenzte Rollen, die es Benutzern ermöglichen, nur das zu tun, was sie für ihren Auftrag benötigen. Wenn ein Agent beispielsweise nur bestimmte Daten lesen oder bestimmte Prozesse ausführen muss, stellen Sie sicher, dass das Konto, das ihn ausführt, keinen umfassenderen Zugriff auf andere Daten oder Verwaltungsfunktionen hat. Vermeiden Sie die Ausführung von Agents unter einem vollständigen Orchestrator-Administratorkonto. Verwenden Sie stattdessen ein dediziertes Dienstkonto mit minimalen Rechten. Auf diese Weise wird der potenzielle Schaden durch den Scope dieses Kontos begrenzt, selbst wenn das Token eines Agents kompromittiert wird.

Überwachen Sie die Ausführungsprotokolle von Agents. Die gesamte Toolnutzung durch Agents wird auf konsistente Weise nachverfolgt und aufgezeichnet. Durch die Überprüfung dieser Protokolle können Sie Anomalien erkennen (z. B. ein Agent, der einen Endpunkt aufruft, den er normalerweise nicht aufruft, oder der zu ungeraden Zeiten ausgeführt wird).

Es ist ratsam, regelmäßige Compliance-Prüfungen von MCP-Dienstkonfigurationen durchzuführen: Exportieren Sie eine Liste aller konfigurierten RemoteServer und aktivieren Sie, ob sie sich auf der genehmigten Liste befinden; aktivieren Sie, ob keine Anmeldeinformationen in Beschreibungen oder Feldern verfügbar gemacht werden; aktivieren Sie, ob alle codierten Server-/Befehlsserver Code entsprechen, der eine Sicherheitsüberprüfung bestanden hat.Pflegen Sie einen Bestand dieser „Agent-Tools“, ähnlich einem Bestand von IT-Assets.

Stellen Sie schließlich sicher, dass Ihr Plan zur Reaktion auf Vorfälle MCP-Dienstszenarien abdeckt. Wenn beispielsweise ein externer Endpunkt verletzt wird oder ein API-Schlüssel durchgesickert wird, verfügen Sie über ein Verfahren, um diesen RemoteServer schnell zu widerrufen oder die Credential zu rotieren.Da UiPath ein Teil Ihrer integrierten Enterprise-Umgebung sein wird, sollte Ihr Sicherheitsteam diese Funktionen kennen und sie in Bedrohungsmodelle und Reaktionsübungen einbeziehen.

Durch die Kontrolle des Zugriffs, die Überwachung von Aktivitäten und die umgehende Untersuchung von Unregelmäßigkeiten halten Sie Ihren Teil des Modells der gemeinsamen Verantwortung aufrecht – Aufrechterhaltung von Sicherheit und Compliance für die Verwendung der leistungsstarken Funktionen der Plattform.