- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Licencia
- Tenants y servicios
- Cuentas y roles
- Aplicaciones externas
- Notificaciones
- Registro
- Solución de problemas
ALE con claves administradas por el cliente
Esta característica está disponible en todos los niveles de nuestro plan de licencias Enterprise, incluido el nivel Estándar.
Habilitar esta característica tiene serias implicaciones en lo que respecta al acceso a los datos. Si surgen problemas clave, corre el riesgo de perder el acceso a sus datos.
En la tabla presentada a continuación encontrarás los problemas más comunes y sus soluciones.
Escenario |
Solución |
---|---|
Tus credenciales de acceso a Azure Key Vault (AKV) han expirado o han sido eliminadas. |
Si aún puedes iniciar sesión utilizando tu correo electrónico y tu contraseña (no SSO)... ... y si eres administrador de la organización, puedes actualizar tus credenciales en la sección Cifrado de la página Administración de la organización. ... y si no eres administrador de la organización, puedes solicitar, a través de un ticket de soporte, que se te ascienda a un rol de administrador; a continuación, puedes actualizar tus credenciales en la sección Cifrado de la página Administración de la organización. Si ya no puedes iniciar sesión, proporciona el ID de tu organización a través de un ticket de soporte, y podemos invitarte y promocionarte como administrador. A continuación, puedes actualizar tus credenciales en la sección Cifrado de la página Administración de la organización. Una vez recuperes el acceso a tu cuenta, te recomendamos crear un nuevo conjunto de claves AKV y credenciales, así como configurar la clave gestionada por el cliente utilizando esta nueva información para que nadie más tenga acceso a tus credenciales. |
Tu clave AKV ha expirado. |
Tu clave administrada por el cliente aún funciona, pero te recomendamos que cambies a una nueva. |
Tu clave AKV ha sido eliminada. |
Puedes restaurar tu clave AKV desde el portal de Azure durante el periodo de retención. |
Tu clave AKV ha sido purgada, pero tenía una copia de seguridad. |
Puedes restaurar la clave desde la copia de seguridad del portal de Azure. Por defecto, la clave restaurada tiene el mismo ID que la original, y no deberías cambiarla. |
Tu clave AKV ha sido purgada y no tenía copia de seguridad. |
ADVERTENCIA:
No hay solución para este escenario. En esta situación, tus datos de cliente de UiPath® se pierden. |
Además del TDE estándar a nivel de almacenamiento, ciertos servicios también emplean cifrado implícito a nivel de aplicación (ALE). Esto significa que los datos se cifran en la capa de aplicación antes de almacenarse, lo que proporciona una capa adicional de seguridad.
Además, algunos servicios/recursos ofrecen un cifrado opcional impulsado por el usuario que se conoce como ALE opcional. Esto te permite decidir si esos servicios/recursos deben emplear ALE o no. Para obtener la lista de servicios o recursos y los tipos de cifrado relevantes para ellos, consulta la página dedatos cifrados en nuestra documentación.
Para los servicios con ALE, ya sea implícito o habilitado, tienes la posibilidad de elegir quién gestiona la clave de cifrado. Puede ser gestionado por UiPath o por ti mismo. Para ayudar en esto, Azure Key Vault admite el control de versiones de secretos, lo que te permite generar un secreto para utilizarlo en la configuración de tu clave a nivel de organización.
Después de habilitar la clave administrada por el cliente, los datos previamente respaldados no serán cifrados de nuevo, y cualquier copia de seguridad existente será eliminada cuando caduque. Solo los datos nuevos serán cifrados utilizando esta opción.
En la arquitectura de claves administradas por el cliente, los productos o servicios de plataforma de UiPath (como UiPath Orchestrator o UiPath Identity Service) generalmente cifran datos confidenciales del cliente antes de almacenarlos. Cuando sea necesario acceder a los datos, el producto o servicio invocará tu infraestructura de gestión de claves para obtener la clave de descifrado. Esto te da control sobre los datos cifrados en UiPath, porque puedes negarte a devolver la clave.
Este proceso se compone de los siguientes componentes:
- El servicio de gestión de claves (KMS): es la herramienta interna de UiPath, desarrollada con fines de cifrado de claves.
- La clave de cifrado de datos (DEK o KMS DEK): se utiliza para cifrar datos de texto simple. Por lo general, el DEK es generado por el KMS o por el almacén de claves internas de UiPath, y nunca se almacenan en texto sin cifrar.
- La clave de cifrado de claves (KEK): se utiliza para cifrar el DEK. El proceso de cifrar una clave se conoce como encapsular claves. Por lo general, el KEK lo generas tú y queda almacenado en tu almacén de claves. Es la clave administrada por el cliente que es controlada por tu servicio de gestión de claves.
- La clave de cifrado de datos cifrados (EDEK): es el DEK encapsulado por el KEK. Por lo general, esta clave es almacenada por el proveedor del servicio (como Orchestrator). Por ello, cuando un servicio necesite acceder a datos cifrados, este llama al servicio de gestión de claves del cliente para obtener el KEK necesario para descifrar el EDEK y así obtener el DEK que será utilizado para descifrar los datos.
- La clave interna de UiPath: es la utilizada para cifrar columnas de datos, incluyendo el CMK y el KMS DEK.
Este diagrama ilustra cómo funcionan conjuntamente los diversos componentes implicados en permitir que las claves administradas por el cliente funcionen conjuntamente:
Habilitar esta característica tiene serias implicaciones en lo que respecta al acceso a los datos. Si surgen problemas clave, corre el riesgo de perder el acceso a sus datos.
Para crear las credenciales necesarias y habilitar esta opción:
La nueva clave administrada por el cliente puede tardar 15 minutos en propagarse tras ser creada. Esto se debe a que nuestro caché interno impide que la misma clave sea propagada repetidamente por razones de rendimiento.
Con Orchestrator, el ciclo de almacenamiento en caché para la recuperación de claves externas es de una hora. Además, el ciclo de almacenamiento en caché para uso interno es de otros 15 minutos.
El cifrado con una clave administrada por el cliente se puede realizar con un secreto o un certificado. Para obtener más información sobre la configuración de certificados, consulta la configuración y la recuperación de un certificado de Azure Key Vault en la documentación de Microsoft. Sigue estos pasos de alto nivel para configurar un certificado de Azure Key Vault para el cifrado:
-
Inicia sesión en Azure Key Vault y ve a la sección Certificados .
-
Crea un certificado con el Asunto como
CN=uipath.com
y el Tipo de contenido comoPEM
. -
Después de la creación, descarga el certificado en formato PFX/PEM. Guarda también el Identificador de clave para su uso posterior.
-
Abre el archivo
.pem
con un editor de texto. Debe constar de dos secciones:BEGIN PRIVATE KEY/END PRIVATE KEY
yBEGIN CERTIFICATE/END CERTIFICATE
. -
Crea un nuevo archivo
.pem
que contenga solo las líneas entreBEGIN CERTIFICATE
yEND CERTIFICATE.
-
En el portal de Azure, localiza la pestaña Certificados y secretos en tu Registro de aplicaciones y carga el nuevo archivo
.pem
. -
En Automation Cloud, como parte de la configuración de la clave administrada por el cliente, debes añadir todo el contenido del certificado
.pem
descargado de Azure Key Vault en el campo Secreto o certificado del cliente , y añadir el Identificador de clave como se encuentra en Azure Key Vault .
Una vez habilites esta opción, también puedes editar cualquier detalle relacionado con la conexión. Para ello, haz clic en Editar conexión en la opción Clave administrada por el cliente y cambia cualquier información según sea necesario.
Es buena práctica rotar tus claves de forma rutinaria para garantizar la protección continua de tus datos cifrados frente a posibles violaciones de seguridad.
La rotación automática se puede configurar en Azure Key Vault, pero aún debes actualizar manualmente la información de la clave administrada por el cliente para tu organización del sector público de Automation CloudTM :
- Crea una nueva clave en tu Azure Key Vault actual o en un nuevo almacén.
- Vuelve a la página Configuración de seguridad de tu organización del sector público de Automation CloudTM .
- Haz clic en Editar conexión en Clave administrada por el cliente y añade los detalles de la nueva clave que hayas creado.
La rotación de claves solo funciona si tanto la clave antigua como la nueva siguen siendo válidas.
Auditoría de rotación de claves: puedes ver cualquier cambio en las claves administradas por el cliente en la página Auditoría en Orchestrator, a nivel de tenant.
Si tu plan Empresarial caduca, se te cambiará automáticamente al plan Gratuito. Esto es lo que puedes esperar en lo que a cifrado de datos respecta:
- La opción Clave administrada por el cliente aún estará habilitada para ti, pero aparecerá en gris en la interfaz. Por lo tanto, ya no podrás editar sus valores, como por ejemplo cambiar los detalles del almacén de claves,
- Puedes cambiar a Clave gestionada por UiPath (opción predeterminada), pero no podrás volver a Clave administrada por el cliente hasta que tu plan sea actualizado a Empresarial.
Hay algunos detalles importantes que debes tener en cuenta antes de comenzar a usar claves administradas por el cliente:
-
Una vez empieces a usar una nueva clave como parte de un proceso de rotación de claves, la antigua ya no podrá utilizarse para acceder y cifrar datos. Por tanto, es importante mantener cualquier clave antigua en el almacén de claves, es decir, deshabilitarlas en lugar de eliminarlas. Esto es de especial importancia en escenarios de recuperación en caso de catástrofes en los que UiPath puede necesitar volver a una copia de seguridad de una versión anterior de la base de datos. Si esa copia de seguridad utiliza una de tus claves antiguas, puedes rotarla para recuperar el acceso a los datos.
Si decides eliminar una clave, es importante que utilices la característica de eliminado suave.
- Si pierdes tu clave, ya no podrás conectarte al almacén. Deberías crear siempre una copia de seguridad de la clave en el portal de Azure o en un almacén de claves seguro separado de Azure, de acuerdo con las políticas de seguridad de tu organización.
- Si estás aprovechando el inicio de sesión único para acceder a los servicios de UiPath, puedes considerar crear una cuenta local para que funcione como una cuenta de emergencia. Dado que la información del proveedor de identidades externo se incluye en los datos cifrados por la clave administrada por el cliente, las cuentas de SSO serán inaccesibles en caso de que no se pueda acceder a tu almacén de claves.
- A efectos de seguridad, los usuarios que no tengan privilegios de administrador de nivel superior no deberían tener derechos de purga sobre claves administradas por el cliente.
-
Si ya no deseas que UiPath tenga acceso a tus datos, puedes deshabilitar la clave desde Azure Key Vault, tal como se muestra en la siguiente imagen:
Más información sobre las Acciones de recuperación de Azure Key Vault.
- Información general
- Explicación de las claves administradas por el cliente
- Habilitar claves administradas por el cliente
- Configurar un certificado de Azure Key Vault para UiPath
- Editar la clave gestionada por el cliente
- Rotación de claves
- Reducción de licencias
- Mejores prácticas para el uso de claves administradas por el cliente