- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Comprender los modelos de autenticación
- Permitir o restringir la autenticación básica
- Configurar la integración de Microsoft Entra ID
- Restringir el acceso por IP
- Restringir el acceso a un conjunto de usuarios
- Restringir el acceso a las organizaciones
- Política de sesión
- Habilitar claves administradas por el cliente
- Licencia
- Tenants y servicios
- Cuentas y roles
- Aplicaciones externas
- Pruebas en su organización
- Ai Trust Layer
- Notificaciones
- Registro
- Solución de problemas
- Migrar a Automation Cloud Dedicated
Guía de administración de Automation Cloud Dedicated
Puedes utilizar tu propia clave de cifrado para proteger los datos almacenados en los recursos de Azure gestionados por UiPath en entornos dedicados. Esto te da un control total sobre la rotación de claves, los permisos de acceso y los requisitos de cumplimiento.
UiPath admite configuraciones de clave administrada por el cliente (CMK) entre tenants. Tu clave reside en tu propio Azure Key Vault, mientras que los recursos cifrados permanecen en el tenant de UiPath.
- Cuentas de Azure Storage
- Servidores SQL de Azure
- Discos de Azure
- Snowflake
Insights utiliza estos servicios internamente para admitir el procesamiento de telemetría y análisis:
-
Azure Event Hubs: amortigua la transmisión de telemetría, como registros de robots y eventos de ejecución, datos de ejecución de trabajos, eventos de elementos de cola, supervisión en tiempo real. Los datos en Event Hubs son transitorios y no se almacenan a largo plazo.
-
Azure Databricks: procesa y almacena datos analíticos, incluidos datos de supervisión en tiempo real, agregaciones históricas y métricas de ejecución de robots procesadas.
Estos servicios utilizan claves administradas por Microsoft para el cifrado en reposo y no se pueden configurar con claves administradas por el cliente.
Cuando habilitas las claves administradas por el cliente en un entorno Dedicado, UiPath utiliza un modelo de cifrado entre tenants con identidad federada. Esto permite que las claves de cifrado permanezcan totalmente controladas por ti, aunque los datos se almacenen en servicios de Azure administrados por UiPath.
La arquitectura se basa en el patrón de Azure para el cifrado seguro de datos en reposo utilizando CMK e identidad federada.
-
Tenant de UiPath: aloja los recursos de Azure que requieren cifrado.
-
Tu tenant: aloja Azure Key Vault y la clave administrada por el cliente.
-
Aplicación multitenant: registrada por UiPath e instalada en tu tenant para habilitar el acceso seguro entre tenants.
-
Identidad administrada: asignada a la aplicación UiPath, utilizada para autenticarse en tu Key Vault.
-
Credenciales federadas: permite que la aplicación UiPath utilice la identidad administrada sin almacenar secretos.
-
Azure Key Vault: almacena tu clave administrada por el cliente.
El flujo de cifrado es el siguiente:
-
Generas un ticket de soporte para recibir el ID de registro y el nombre de la aplicación.
-
UiPath registra una aplicación multitenant y adjunta una identidad administrada asignada por el usuario.
-
La aplicación se instala en tu tenant de Azure.
-
Creas la clave en tu Key Vault y compartes el URI de la clave (con la versión) con UiPath.
-
Asignas los siguientes permisos a la aplicación a través de Azure RBAC:
get,wrapKey,unwrapKey. -
UiPath configura los recursos de Azure relevantes para utilizar la clave para el cifrado y descifrado.
UiPath nunca almacena tu clave. Todas las operaciones se realizan de forma segura utilizando las API de Azure y tus propios controles de acceso.
- Requisitos de Azure Key Vault :
- La eliminación suave y la protección de purga están habilitadas.
- Los bloqueos de recursos se configuran en el Almacén de claves y las claves.
- La clave debe ser del tipo RSA de 2048 bits.
Estas configuraciones evitan la eliminación accidental y garantizan la capacidad de recuperación.
- Permisos y configuración:
-
Genera un ticket de soporte para solicitar a UiPath un ID y un nombre de registro de la aplicación multitenant.
-
Debes crear la clave en tu tenant y autorizar el acceso a ella para la aplicación de UiPath.
-
La rotación de claves es compatible si tu clave tiene el control de versiones habilitado.
-
- Crea o selecciona un almacén de claves de Azure en tu tenant de Azure.
- Configura el almacén de claves y la clave de cifrado de acuerdo con los siguientes requisitos:
-
Habilitar la eliminación suave y la protección de purga.
Garantiza que las claves o almacenes eliminados puedan restaurarse hasta en 90 días.
-
Aplicar un bloqueo de recursos tanto en Key Vault como en la clave
Evita eliminaciones o cambios accidentales.
-
Selecciona RSA de 2048 bits como tipo de clave.
-
Asegúrate de que Key Vault está en la misma región que tus recursos de disco de Azure (necesario para el cifrado de disco de Azure).
-
En Redes, selecciona Permitir que los servicios de Microsoft de confianza omitan este firewall.
.Para conocer los pasos detallados, consulta Configurar claves administradas por el cliente entre tenants para una nueva cuenta de almacenamiento: Azure Storage.
-
- Instala la aplicación multitenant de UiPath en tu tenant de Azure utilizando la información proporcionada por el equipo de soporte.
- Asigna el rol de Azure RBAC Key Vault Crypto Service Encryption User a la aplicación UiPath para que pueda acceder a Key Vault.
Como alternativa, concede a la aplicación UiPath una política de acceso a Key Vault con los siguientes permisos:
get,wrapKeyyunwrapKey. - Comparte el URI de la clave con UiPath a través del ticket de soporte creado anteriormente.
Nota: puedes utilizar una única clave para todos los recursos compatibles o claves independientes para cada recurso, como SQL, almacenamiento, disco, Snowflake. Si eliges utilizar claves diferentes, proporciona a UiPath los URI de clave correspondientes a través de tu ticket de soporte.
- Utilizando los URI de clave que proporcionaste, UiPath configura el cifrado en tus recursos basados en Azure y aplica claves administradas por el cliente (CMK) a los componentes compatibles, incluidos los recursos de almacenamiento, SQL, disco y Snowflake.
Si quieres aplicar CMK a los recursos de Snowflake, debes seguir estos pasos adicionales:
- Realiza los pasos 1 a 2.5 de esta guía de la comunidad de Snowflake.
- Proporciona el resultado del paso 2.5 a UiPath a través de tu ticket de soporte.
- UiPath completa el registro automático Tri-Secret Secure con Azure Key Vault mencionado en el paso 2.5 y el paso 3.1.
- UiPath comparte el enlace de consentimiento de Azure y el nombre principal de Snowflake.
- Continúa con el procedimiento de Snowflake descrito aquí, empezando por el paso 3.
- En el paso 4, si necesitas controles de acceso público para Key Vault (a través de IP específicas o redes virtuales), ponte en contacto con UiPath para obtener los detalles de la subred.
- UiPath completa el paso 4.5.
- Notificar cuando el cifrado con CMK está activo.
- Rotación de claves:
- Los servicios de Azure comprueban si hay una nueva versión de clave una vez al día.
Cambiar la versión de la clave no causa tiempo de inactividad. Para obtener más información, consulta Claves administradas por el cliente para el cifrado de cuentas: Azure Storage.
- Después de rotar, espere 24 horas antes de deshabilitar la versión anterior.
- Las copias de seguridad más antiguas no se vuelven a cifrar, así que mantén las versiones de clave antiguas disponibles para las restauraciones.
- Los servicios de Azure comprueban si hay una nueva versión de clave una vez al día.
- Revocación temporal:
- Puedes deshabilitar una clave sin eliminarla.
- Esto bloquea el acceso a los recursos cifrados, pero no afecta al estado de cifrado.
- El acceso se restaura cuando se vuelve a habilitar la clave.
- Mientras está deshabilitado, las operaciones devolverán errores 403 prohibidos.
Consulta la siguiente tabla para ver los escenarios en los que podrías perder tus datos y las formas en que puedes prevenir o mitigar el problema:
| Incidencia | Repercusión | Prevención | Mitigación |
|---|---|---|---|
| Bloqueo de recursos AKV eliminado |
Es posible que se eliminen AKV/key. Si se elimina, los recursos se vuelven inaccesibles en aproximadamente 10 minutos. | La protección de eliminación suave y purga garantiza que el AKV/clave pueda restaurarse en un plazo de 90 días. | Restaure el AKV o la clave en un plazo de 90 días. |
| AKV/Clave actual eliminada |
Los recursos se vuelven inaccesibles en aproximadamente 10 minutos. | La protección de eliminación suave y purga garantiza que el AKV/clave pueda restaurarse en un plazo de 90 días. | Restaure el AKV o la clave en un plazo de 90 días. |
| Versión de clave anterior eliminada | Interrumpe la restauración de la copia de seguridad | La protección de eliminación suave y purga garantiza que el AKV/clave pueda restaurarse en un plazo de 90 días. | Restaure el AKV o la clave en un plazo de 90 días. |
| Clave comprometida | Datos en riesgo | Aplicar protección de red en AKV. | N/D |
|
Acceso revocado (cambio de RBAC/firewall) Por ejemplo: revocar los permisos
get, wrapKey, unwrapKey del almacén de claves desde el servidor o cambiar las reglas de firewall del almacén de claves.
| Los recursos se vuelven inaccesibles en aproximadamente 10 minutos. | Utilizar bloqueos de recursos. | Restaurar permisos |
| Interrupción de Azure Key Vault | Los recursos se vuelven inaccesibles en aproximadamente 10 minutos. | No aprovisionamos Azure Key Vaults en regiones donde la conmutación por error entre regiones no es compatible. Para obtener más información, consulta Fiabilidad en Azure Key Vault. | No se requiere ninguna acción |