automation-cloud
latest
false
Guía para administradores de Automation Cloud
Last updated 31 de oct. de 2024

ALE con claves administradas por el cliente

Esta característica está disponible en todos los niveles de nuestro plan de licencias Enterprise, incluido el nivel Estándar.

ADVERTENCIA:

Habilitar esta característica tiene serias implicaciones en lo que respecta al acceso a los datos. Si surgen problemas clave, corre el riesgo de perder el acceso a sus datos.

En la tabla presentada a continuación encontrarás los problemas más comunes y sus soluciones.

Escenario

Solución

Tus credenciales de acceso a Azure Key Vault (AKV) han expirado o han sido eliminadas.

Si aún puedes iniciar sesión utilizando tu correo electrónico y tu contraseña (no SSO)...

... y si eres administrador de la organización, puedes actualizar tus credenciales en la sección Cifrado de la página Administración de la organización.

... y si no eres administrador de la organización, puedes solicitar, a través de un ticket de soporte, que se te ascienda a un rol de administrador; a continuación, puedes actualizar tus credenciales en la sección Cifrado de la página Administración de la organización.

Si ya no puedes iniciar sesión, proporciona el ID de tu organización a través de un ticket de soporte, y podemos invitarte y promocionarte como administrador. A continuación, puedes actualizar tus credenciales en la sección Cifrado de la página Administración de la organización.

Una vez recuperes el acceso a tu cuenta, te recomendamos crear un nuevo conjunto de claves AKV y credenciales, así como configurar la clave gestionada por el cliente utilizando esta nueva información para que nadie más tenga acceso a tus credenciales.

Tu clave AKV ha expirado.

Tu clave administrada por el cliente aún funciona, pero te recomendamos que cambies a una nueva.

Tu clave AKV ha sido eliminada.

Puedes restaurar tu clave AKV desde el portal de Azure durante el periodo de retención.

Tu clave AKV ha sido purgada, pero tenía una copia de seguridad.

Puedes restaurar la clave desde la copia de seguridad del portal de Azure. Por defecto, la clave restaurada tiene el mismo ID que la original, y no deberías cambiarla.

Tu clave AKV ha sido purgada y no tenía copia de seguridad.

ADVERTENCIA:

No hay solución para este escenario. En esta situación, tus datos de cliente de UiPath® se pierden.

Información general

Además del TDE estándar a nivel de almacenamiento, ciertos servicios también emplean cifrado implícito a nivel de aplicación (ALE). Esto significa que los datos se cifran en la capa de aplicación antes de almacenarse, lo que proporciona una capa adicional de seguridad.

Además, algunos servicios/recursos ofrecen un cifrado opcional impulsado por el usuario que se conoce como ALE opcional. Esto te permite decidir si esos servicios/recursos deben emplear ALE o no. Para obtener la lista de servicios o recursos y los tipos de cifrado relevantes para ellos, consulta la página dedatos cifrados en nuestra documentación.

Para los servicios con ALE, ya sea implícito o habilitado, tienes la posibilidad de elegir quién gestiona la clave de cifrado. Puede ser gestionado por UiPath o por ti mismo. Para ayudar en esto, Azure Key Vault admite el control de versiones de secretos, lo que te permite generar un secreto para utilizarlo en la configuración de tu clave a nivel de organización.

Después de habilitar la clave administrada por el cliente, los datos previamente respaldados no serán cifrados de nuevo, y cualquier copia de seguridad existente será eliminada cuando caduque. Solo los datos nuevos serán cifrados utilizando esta opción.

Explicación de las claves administradas por el cliente

En la arquitectura de claves administradas por el cliente, los productos o servicios de plataforma de UiPath (como UiPath Orchestrator o UiPath Identity Service) generalmente cifran datos confidenciales del cliente antes de almacenarlos. Cuando sea necesario acceder a los datos, el producto o servicio invocará tu infraestructura de gestión de claves para obtener la clave de descifrado. Esto te da control sobre los datos cifrados en UiPath, porque puedes negarte a devolver la clave.

Este proceso se compone de los siguientes componentes:

  • El servicio de gestión de claves (KMS): es la herramienta interna de UiPath, desarrollada con fines de cifrado de claves.
  • La clave de cifrado de datos (DEK o KMS DEK): se utiliza para cifrar datos de texto simple. Por lo general, el DEK es generado por el KMS o por el almacén de claves internas de UiPath, y nunca se almacenan en texto sin cifrar.
  • La clave de cifrado de claves (KEK): se utiliza para cifrar el DEK. El proceso de cifrar una clave se conoce como encapsular claves. Por lo general, el KEK lo generas tú y queda almacenado en tu almacén de claves. Es la clave administrada por el cliente que es controlada por tu servicio de gestión de claves.
  • La clave de cifrado de datos cifrados (EDEK): es el DEK encapsulado por el KEK. Por lo general, esta clave es almacenada por el proveedor del servicio (como Orchestrator). Por ello, cuando un servicio necesite acceder a datos cifrados, este llama al servicio de gestión de claves del cliente para obtener el KEK necesario para descifrar el EDEK y así obtener el DEK que será utilizado para descifrar los datos.
  • La clave interna de UiPath: es la utilizada para cifrar columnas de datos, incluyendo el CMK y el KMS DEK.

Este diagrama ilustra cómo funcionan conjuntamente los diversos componentes implicados en permitir que las claves administradas por el cliente funcionen conjuntamente:



Habilitar claves administradas por el cliente

ADVERTENCIA:

Habilitar esta característica tiene serias implicaciones en lo que respecta al acceso a los datos. Si surgen problemas clave, corre el riesgo de perder el acceso a sus datos.

Para crear las credenciales necesarias y habilitar esta opción:

  1. Crea las credenciales necesarias en Azure Key Vault.
    Nota:
    • El almacén de claves puede ser creado en cualquier región, pero recomendamos que pertenezca a la misma región que tu organización.
    • UiPath obtiene acceso al almacén de claves utilizado para la clave administrada por el cliente, así pues recomendamos crear un almacén dedicado exclusivo para ese propósito.
    • Esta característica es compatible con cualquier tamaño de clave que pueda configurarse en un almacén de claves.
    • Solo admitimos políticas de acceso al almacén de claves para controlar el acceso a los recursos de Azure. Estas políticas deben configurarse con permisos de empaquetado y desencapsulado:


  2. Inicia sesión como administrador de la organización.
  3. Ve a Administración, haz clic en el nombre de la organización en el panel de la izquierda, y haz clic en Seguridad.
    Se mostrará la página Ajustes de seguridad.


  4. En la sección Cifrado, bajo Tipo de cifrado, selecciona Clave administrada por el cliente.
    Se mostrará la ventana Configuración de clave administrada por el cliente.
  5. Rellena los detalles necesarios enumerados a continuación, tal como se define en el portal de Azure:
    1. ID de directorio de Azure (tenant) (creado como parte del registro de la aplicación en Azure):

    2. ID de la aplicación de Azure (cliente) (creada como parte del registro de la aplicación en Azure):

    3. Secreto de cliente (creado como parte del registro de la aplicación en Azure):

    4. Identificador de clave (creado en Azure Key Vault):

      Importante: Obligatorio: asegúrate de seleccionar las opciones Encapsular clave y Desencapsular clave para permitir el uso de este elemento como llave gestionada por el cliente.
  6. Haz clic en Probar y guardar.
    Se muestra un mensaje de confirmación que te informa de que has configurado tu propia clave de cifrado.


    Si en su lugar recibes un mensaje de error, comprueba tus credenciales y vuelve a intentarlo.
Nota:

La nueva clave administrada por el cliente puede tardar 15 minutos en propagarse tras ser creada. Esto se debe a que nuestro caché interno impide que la misma clave sea propagada repetidamente por razones de rendimiento.

Con Orchestrator, el ciclo de almacenamiento en caché para la recuperación de claves externas es de una hora. Además, el ciclo de almacenamiento en caché para uso interno es de otros 15 minutos.

Editar la clave gestionada por el cliente

Una vez habilites esta opción, también puedes editar cualquier detalle relacionado con la conexión. Para ello, haz clic en Editar conexión en la opción Clave administrada por el cliente y cambia cualquier información según sea necesario.

Rotación de claves

Es buena práctica rotar tus claves de forma rutinaria para garantizar la protección continua de tus datos cifrados frente a posibles violaciones de seguridad.

La rotación automática se puede configurar en Azure Key Vault, pero aún debes actualizar manualmente la información de la clave administrada por el cliente para tu organización de Automation CloudTM :

  1. Crea una nueva clave en tu Azure Key Vault actual o en un nuevo almacén.
  2. Vuelve a la página Configuración de seguridad de tu organización de Automation CloudTM .
  3. Haz clic en Editar conexión en Clave administrada por el cliente y añade los detalles de la nueva clave que hayas creado.

La rotación de claves solo funciona si tanto la clave antigua como la nueva siguen siendo válidas.

Auditoría de rotación de claves: puedes ver cualquier cambio en las claves administradas por el cliente en la página Auditoría en Orchestrator, a nivel de tenant.

Reducción de licencias

Si tu plan Empresarial caduca, se te cambiará automáticamente al plan Gratuito. Esto es lo que puedes esperar en lo que a cifrado de datos respecta:

  • La opción Clave administrada por el cliente aún estará habilitada para ti, pero aparecerá en gris en la interfaz. Por lo tanto, ya no podrás editar sus valores, como por ejemplo cambiar los detalles del almacén de claves,
  • Puedes cambiar a Clave gestionada por UiPath (opción predeterminada), pero no podrás volver a Clave administrada por el cliente hasta que tu plan sea actualizado a Empresarial.

Mejores prácticas para el uso de claves administradas por el cliente

Hay algunos detalles importantes que debes tener en cuenta antes de comenzar a usar claves administradas por el cliente:

  • Una vez empieces a usar una nueva clave como parte de un proceso de rotación de claves, la antigua ya no podrá utilizarse para acceder y cifrar datos. Por tanto, es importante mantener cualquier clave antigua en el almacén de claves, es decir, deshabilitarlas en lugar de eliminarlas. Esto es de especial importancia en escenarios de recuperación en caso de catástrofes en los que UiPath puede necesitar volver a una copia de seguridad de una versión anterior de la base de datos. Si esa copia de seguridad utiliza una de tus claves antiguas, puedes rotarla para recuperar el acceso a los datos.

    Si decides eliminar una clave, es importante que utilices la característica de eliminado suave.

  • Si pierdes tu clave, ya no podrás conectarte al almacén. Deberías crear siempre una copia de seguridad de la clave en el portal de Azure o en un almacén de claves seguro separado de Azure, de acuerdo con las políticas de seguridad de tu organización.
  • Si estás aprovechando el inicio de sesión único para acceder a los servicios de UiPath, puedes considerar crear una cuenta local para que funcione como una cuenta de emergencia. Dado que la información del proveedor de identidades externo se incluye en los datos cifrados por la clave administrada por el cliente, las cuentas de SSO serán inaccesibles en caso de que no se pueda acceder a tu almacén de claves.
  • A efectos de seguridad, los usuarios que no tengan privilegios de administrador de nivel superior no deberían tener derechos de purga sobre claves administradas por el cliente.
  • Si ya no deseas que UiPath tenga acceso a tus datos, puedes deshabilitar la clave desde Azure Key Vault, tal como se muestra en la siguiente imagen:



    Más información sobre las Acciones de recuperación de Azure Key Vault.

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2024 UiPath. Todos los derechos reservados.