automation-suite
2023.10
true
Guide d'installation d'Automation Suite sur EKS/AKS
Last updated 1 nov. 2024

Sécurité et conformité

Contexte de sécurité pour les services UiPath®

Cette section fournit des détails sur le contexte de sécurité des services UiPath®.

L’ensemble des services UiPath® sont configurés avec un contexte de sécurité défini dans la section spec. L’exemple suivant présente la configuration de l’ensemble des services, à l’exception de du-cjk-ocr :
spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false
Dans le cas du service du-cjk-ocr, la valeur du paramètre readOnlyRootFilesystem est false. Pour plus d'informations sur du-cjk-ocr, consultez la documentation Document Understanding.

Dans certains cas, les ID d'utilisateur et les ID de groupe peuvent être supérieurs ou égaux à 1000. Ces valeurs sont autorisées en fonction de votre environnement. Il est important de configurer les ID d'utilisateur et de groupe en fonction de vos principes de sécurité et des directives de sécurité de votre organisation.

Politiques du contrôleur d'accès et de l'OPA

Automation Suite est préconfiguré avec Gatekeeper et les stratégies OPA. Si vous apportez votre propre composant Gatekeeper et les stratégies OPA, vous pouvez ignorer ces composants lors de l’installation d’Automation Suite. Pour plus de détails, consultez la section Pile d’Automation Suite. Dans ce cas, passez en revue les stratégies OPA et les exceptions nécessaires à l’installation et à l’exécution d’Automation Suite.

Par défaut, ces stratégies ne s’exécutent que dans les espaces de noms UiPath® suivants : -uipath, uipath-installer, uipath-infra, airflow et argocd.

Stratégies OPA

Policy

Actionsd’application

Espaces de noms/images à exclure

Contrôle la restriction de l’escalade aux privilèges root. Correspond au champ allowPrivilegeEscalation dans PodSecurityPolicy

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • uipath-check

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Configure une liste d'autorisation de profils Apparmor à utiliser par les conteneurs. Cela correspond à des annotations spécifiques appliquées à PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Contrôle les capacités Linux sur les conteneurs. Correspond aux champs allowedCapabilities et requiredDropCapabilities dans PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-check

  • kube-system

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Contrôle la liste d’autorisation des pilotes FlexVolume. Correspond au champ allowedFlexVolumes dans PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Contrôle l'attribution d'un FSGroup qui possède les volumes du pod. Correspond au champ fsGroup dans PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • uipath-check

Contrôle l’utilisation du système de fichiers hôte. Correspond au champ allowedHostPaths dans PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Interdit le partage des espaces de noms PID et IPC de l'hôte par les conteneurs de pods. Correspond aux champs hostPID et hostIPC dans PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Contrôle l'utilisation de l'espace de noms du réseau hôte par les conteneurs de pods.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • uipath-check

Contrôle la capacité de n'importe quel conteneur à activer le mode privilégié. Correspond au champ privileged dans PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • uipath-check

Contrôle les types procMount autorisés pour le conteneur. Correspond au champ allowedProcMountTypes d'une PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Nécessite l'utilisation d'un système de fichiers racine en lecture seule par les conteneurs de pods.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • uipath-check

Contrôle le profil seccomp utilisé par les conteneurs. Correspond à l'annotation seccomp.security.alpha.kubernetes.io/allowedProfileNames sur PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • uipath-check

Définit une liste d'autorisation de configurations seLinuxOptions pour les conteneurs de pods.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Contrôle les ID d'utilisateur et de groupe du conteneur et de certains volumes.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • velero

  • uipath-check

Limite les types de volumes montables à ceux spécifiés par l'utilisateur.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • velero

  • uipath-check

Remarque :
  • L'espace de noms dapr-system n'est nécessaire que si vous installez Process Mining et Task Mining.
  • L'espace de noms airflow n'est nécessaire que si vous installez Process Mining.

Autres politiques OPA

Policy

Actionsd’application

Espaces de noms/images à exclure

Contrôle la capacité de n'importe quel pod à activer automountServiceAccountToken.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • uipath-check

Exige que les images de conteneur commencent par une chaîne de la liste spécifiée.

dryrun

  • registry.uipath.com

  • registry-data.uipath.com

deny

S/O

Interdit tous les services de type LoadBalancer.

deny

  • kube-system

Interdit tous les services de type NodePort.

deny

  • istio-system

  • vérifications préalables au réseau

Les utilisateurs ne doivent pas pouvoir créer des entrées avec un nom d'hôte vide ou générique (*), car cela leur permettrait d'intercepter le trafic pour d'autres services du cluster, même s'ils n'ont pas accès à ces services.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Exige que les conteneurs aient des limites de mémoire et de processeur définies. Contraint les limites à respecter les valeurs maximales spécifiées.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • uipath-check

Nécessite que les requêtes de mémoire et de processeur des conteneurs soient définies. Contraint les requêtes à se situer dans les valeurs maximales spécifiées.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • uipath-check

Définit un ratio maximal entre les limites des ressources de conteneur et les requêtes.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prereq**

Nécessite que les conteneurs aient des ressources définies.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • uipath-check

Interdit d’associer les ressources ClusterRole et Role à l’utilisateur system:anonymous et au groupe system:unauthenticated .

deny

S/O

Exige que les images de conteneur aient une balise d'image différente de celles de la liste spécifiée.

deny

S/O

Exige que les conteneurs aient une limite de stockage éphémère définie et que la limite se situe dans les valeurs maximales spécifiées.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • uipath-check

deny

S/O

Exige que les ressources Ingress soient uniquement HTTPS. Les ressources d'entrée doivent inclure l'annotation kubernetes.io/ingress.allow-http , définie sur false. Par défaut, une configuration TLS {} valide est requise. Cela peut être rendu facultatif en définissant le paramètre tlsOptional sur true.

dryrun

  • surveillance

Les images de conteneur doivent contenir un résumé.

dryrun

  • UiPath

Bloque la mise à jour du compte de service sur les ressources qui extraient les pods. Cette stratégie est ignorée en mode audit.

dryrun

S/O

deny

  • flux d’air

Les pods doivent disposer de sondes de disponibilité et/ou de vitalité.

dryrun

  • UiPath

Les classes de stockage doivent être spécifiées lors de l'utilisation.

dryrun

S/O

Nécessite que tous les hôtes de règles Ingress soient uniques.

dryrun

S/O

Nécessite que les services aient des sélecteurs uniques dans un espace de noms. Les sélecteurs sont considérés comme identiques s'ils ont des clés et des valeurs identiques. Les sélecteurs peuvent partager une paire clé/valeur tant qu’il existe au moins une paire clé/valeur distincte entre eux.

dryrun

S/O

Remarque :
  • L'espace de noms dapr-system n'est nécessaire que si vous installez Process Mining et Task Mining.
  • L'espace de noms airflow n'est nécessaire que si vous installez Process Mining.
  • prereq** sont des espaces de noms temporaires créés lors de l'exécution d'un prérequis ou d'une vérification de l'état. Les espaces de noms s'auto-suppriment une fois terminés.

Politiques de mise en réseau

Automation Suite est préconfiguré avec les stratégies réseau Kubernetes standard pour suivre le principe du moindre privilège d'accès au réseau. Vous pouvez choisir d'ignorer l'installation des stratégies réseau fournies par UiPath en ajoutant network-policies sous la liste exclude components dans input.json. Pour en savoir plus sur les composants facultatifs, consultez la pile Automation Suite.
Automation Suite applique le réseau depuis, vers et dans l'espace de noms uipath. Si vous apportez vos propres stratégies réseau ou si vous avez un CNI personnalisé (par ex., Cilium Enterprise ou Calico Tigera Enterprise), veillez à mettre à jour vos stratégies pour qu'elles reflètent le graphique Helm network-policies.
Vous pouvez trouver le graphique Helm Automation Suite network-policies en exécutant la commande suivante.
Remarque :
  • Vous devez remplacer <automation-suite-version> par votre version actuelle d'Automation Suite dans la commande suivante.
  • Vous devez décompresser le fichier pour extraire le graphique Helm.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

Exigences en matière de privilèges de cluster

L'accès à l'administrateur de cluster est requis pour uipathctl sur votre nœud de gestion afin d'installer et de gérer Automation Suite sur votre cluster dédié. Ce niveau d'accès est nécessaire pour les composants de niveau système dans Automation Suite, tels qu'Istio (routage/service mesh) et ArgoCD (déploiement et gestion du cycle de vie des applications), et pour créer des espaces de noms liés à Automation Suite.

FIPS 140-2

La norme FIPS 140-2 (Federal Information Processing Standards 140-2) est une norme de sécurité qui valide l'efficacité des modules cryptographiques.

Automation Suite sur AKS peut s'exécuter sur des nœuds compatibles FIPS 140-2.

Vous pouvez activer FIPS 140-2 sur les nœuds AKS sur lesquelles vous installez Automation Suite dans les scénarios suivants :

  1. Scénario 1 : nouvelles installations​​ - Activez FIPS 140-2 avant d’effectuer une nouvelle installation d’Automation Suite 2023.4 ou version ultérieure.
  2. Scénario 2 : installations existantes​​ - Activez FIPS 140-2 après avoir effectué une installation d'Automation Suite sur une machine avec FIPS-140-2 désactivé.

Scénario 1 : nouvelles installations

Pour activer FIPS 140-2 sur les machines sur lesquelles vous prévoyez d'effectuer une nouvelle installation d'Automation Suite, procédez comme suit :

  1. Avant de commencer l'installation d'Automation Suite, activez FIPS 140-2 sur vos machines.
  2. Effectuez l'installation d'Automation Suite en suivant les instructions d'installation de ce guide.
    • Si vous installez AI Center sur une machine compatible FIPS 140-2 et que vous utilisez également Microsoft SQL Server, une configuration supplémentaire est requise. Pour plus de détails, consultez la section Exigences SQL pour AI Center.
    • Assurez-vous qu'Insights est désactivé, car il n'est pas pris en charge par FIPS 140-2.
  3. Définissez l'indicateur fips_enabled_nodes sur true dans le fichier input.json.
  4. Assurez-vous que vos certificats sont compatibles FIPS 140-2.
    Remarque :

    Par défaut, Automation Suite génère des certificats compatibles FIPS 140-2 auto-signés dont la date d'expiration dépend du type d'installation d'Automation Suite que vous choisissez.

    Il est fortement recommandé de remplacer ces certificats auto-signés par des certificats émis par une autorité de certification au moment de l'installation. Pour utiliser Automation Suite sur des machines compatibles FIPS 140-2, les certificats nouvellement fournis doivent être compatibles FIPS 140-2. Pour obtenir la liste des chiffrements éligibles pris en charge par RHEL, consultez la documentation RHEL.

    Pour plus de détails sur la façon d'ajouter vos propres certificats de signature de jeton et TLS compatibles FIPS 140-2, consultez la section Configuration du certificat.

Scénario 2 : installations existantes

Vous pouvez installer Automation Suite sur des machines avec FIPS 140-2 désactivée, puis activer la norme de sécurité sur ces mêmes machines. Cela est également possible lorsque vous effectuez une mise à niveau vers une nouvelle version d'Automation Suite.

Pour activer FIPS 140-2 sur les machines sur lesquelles vous avez déjà effectué une installation d'Automation Suite, procédez comme suit :

  1. Effectuez une installation ou une mise à niveau d'Automation Suite standard sur les machines en désactivant FIPS 140-2.
  2. Activez FIPS 140-2 sur toutes vos machines.
  3. Assurez-vous que vos certificats sont compatibles FIPS 140-2.
    Remarque :

    Pour utiliser Automation Suite sur des machines compatibles FIPS 140-2, vous devez remplacer vos certificats par de nouveaux certificats compatibles FIPS 140-2 signés par une autorité de certification. Pour obtenir la liste des chiffrements éligibles pris en charge par RHEL, consultez la documentation RHEL.

    Pour plus de détails sur la façon d'ajouter vos propres certificats de signature de jeton et TLS compatibles FIPS 140-2, consultez la section Configuration du certificat.

    Pour plus d'informations sur les certificats, consultez .

  4. Assurez-vous que votre sélection de produits est conforme aux exigences FIPS-140-2 :
    • Si vous installez AI Center sur une machine compatible FIPS 140-2 et que vous utilisez également Microsoft SQL Server, une configuration supplémentaire est requise. Pour plus de détails, consultez la section Exigences SQL pour AI Center.
    • Si vous avez précédemment activé Insights, vous devez le désactiver, car il n'est pas pris en charge par FIPS 140-2. Pour plus de détails sur la façon de désactiver les produits après l'installation, voir Gestion des produits.
  5. Redémarrez vos machines et vérifiez si vous avez correctement activé FIPS 140-2.
  6. Réexécutez le programme d'installation uipathctl.

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.