automation-suite
2023.10
false
UiPath logo, featuring letters U and I in white
Automation Suite no guia de instalação do EKS/AKS
Last updated 21 de nov de 2024

Segurança e conformidade

Contexto de segurança para serviços da UiPath®

Esta seção fornece detalhes sobre o contexto de segurança dos serviços da UiPath®.

Todos os serviços UiPath® são configurados com um contexto de segurança definido na seção.spec O exemplo a seguir mostra a configuração para todos os serviços, com exceção de:du-cjk-ocr
spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false
No caso do serviço,du-cjk-ocr o valor do parâmetro readOnlyRootFilesystemé. falsePara obter mais informações sobre,du-cjk-ocr consulte a documentação do Document Understanding.

Em algumas instâncias, os IDs de usuário e IDs de grupo podem ser maiores ou iguais a 1000. Esses valores são permissíveis com base no seu ambiente. É importante configurar os IDs de usuário e grupo de acordo com seus princípios de segurança e as diretrizes de segurança da sua organização.

Políticas de Gateway e OPA

O Automation Suite é pré-configurado com políticas Gatekeeper e OPA. Se você trouxer seu próprio componente do Gatekeeper e políticas OPA, poderá ignorar esses componentes da instalação do Automation Suite. Para obter detalhes, consulte pilha do Automation Suite. Nesse caso, revise as políticas do OPA e as exceções necessárias para instalar e executar o Automation Suite.

Por padrão, essas políticas são executadas apenas nos seguintes namespaces da UiPath: -uipath, uipath-installer, uipath-infra, airflow e argocd.

Políticas do OPA

Policy

Actionsde Aplicação

Namespaces/Imagens a serem excluídos

Controla a restrição do escalonamento para privilégios de “root”. Corresponde ao campo allowPrivilegeEscalation em uma PodSecurityPolicy

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • uipath-check

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

Configura uma lista de permissões de perfis do AppArform para uso por contêineres. Isso corresponde a anotações específicas aplicadas a uma PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

Controla recursos do Linux em contêineres. Corresponde aos campos allowedCapabilities e requiredDropCapabilities em uma PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-check

  • kube-system

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

Controla a lista de permissões dos drivers FlexVolume. Corresponde ao campo allowedFlexVolumes em PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

Controla a alocação de um FSGroup que possui os volumes do pod. Corresponde ao campo fsGroup em uma PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • fluxo de ar

  • uipath-check

Controla o uso do sistema de arquivos do host. Corresponde ao campo allowedHostPaths em uma PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

Proibiu o compartilhamento de namespaces do host PID e IPC por contêineres de pod. Corresponde aos campos hostPID e hostIPC em uma PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

Controla o uso do namespace da rede do host pelos contêineres de pod.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • uipath-check

Controla a capacidade de qualquer contêiner de habilitar o modo privilegiado. Corresponde ao campo privileged em uma PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • uipath-check

Controla os tipos de procMount permitidos para o contêiner. Corresponde ao campo allowedProcMountTypes em uma PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

Requer o uso de um sistema de arquivos raiz somente leitura para os contêineres de pod.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • uipath-check

Controla o perfil secompac usado por contêineres. Corresponde à anotação seccomp.security.alpha.kubernetes.io/allowedProfileNames em uma PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • fluxo de ar

  • uipath-check

Define uma lista de permissões de configurações seLinuxOptions para contêineres de pod.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

Controla os IDs de usuários e grupos do contêiner e de alguns volumes.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • fluxo de ar

  • velero

  • uipath-check

Restringe os tipos de volumes montáveis àqueles especificados pelo usuário.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • velero

  • uipath-check

Observação:
  • O namespace dapr-system só é necessário se você instalar o Process Mining e o Task Mining.
  • O namespace airflow só é necessário se você instalar o Process Mining.

Outras políticas do OPA

Policy

Actionsde Aplicação

Namespaces/Imagens a serem excluídos

Controla a capacidade de qualquer pod de habilitar o automountServiceAccountToken.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • fluxo de ar

  • uipath-check

Exige que as imagens de contêiner comecem com uma cadeia de caracteres da lista especificada.

dryrun

  • registry.uipath.com

  • registry-data.uipath.com

deny

N/A

Não permite todos os serviços do tipo LoadBalancer.

deny

  • kube-system

Desabilita todos os Serviços do tipo NodePort.

deny

  • istio-system

  • rede-prereq-checks

Os usuários não devem poder criar Ingresss com um nome de host em branco ou curinga (*), pois isso os permitiria interceptar o tráfego para outros serviços no cluster, mesmo se eles não tiverem acesso a esses serviços.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • kube-system

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

Exige que os contêineres tenham limites de memória e CPU definidos. Limita os limites para que estejam dentro dos valores máximos especificados.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • fluxo de ar

  • uipath-check

Exige que os contêineres tenham solicitações de memória e de CPU definidas. Limita as solicitações para que fiquem dentro dos valores máximos especificados.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • fluxo de ar

  • uipath-check

Define uma relação máxima dos limites de recursos de contêiner para as solicitações.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • fluxo de ar

  • prereq**

Requer que os contêineres tenham recursos definidos definidos.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • fluxo de ar

  • uipath-check

Proibir a associação dos recursos ClusterRole e Função ao usuário system:anonymous e ao grupo system:unauthenticated .

deny

N/A

Exige que as imagens de contêiner tenham uma tag de imagem diferente daquelas na lista especificada.

deny

N/A

Exige que os contêineres tenham um limite de armazenamento efêmero definido e limita esse limite dentro dos valores máximos especificados.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • padrão

  • istio-system

  • cert-manager

  • Monitoramento

  • fluxo de ar

  • uipath-check

deny

N/A

Requer que os recursos do Ingress sejam apenas HTTPS. Os recursos do Ingress devem incluir a anotação kubernetes.io/ingress.allow-http , definida como false. Por padrão, uma configuração {} válida do TLS é necessária; isso pode ser opcional definindo o parâmetro tlsOptional como true.

dryrun

  • Monitoramento

Exige que as imagens de contêiner contenham um resumo.

dryrun

  • UiPath

Blocos que atualizam a conta de serviço em recursos que abstraem sobre pods. Esta política é ignorada no modo de auditoria.

dryrun

N/A

deny

  • fluxo de ar

Exige que os pods tenham testes de prontidão e/ou atividade.

dryrun

  • UiPath

Requer que as classes de armazenamento sejam especificadas quando usadas.

dryrun

N/A

Exige que todos os hosts da regra de Ingress sejam exclusivos.

dryrun

N/A

Exige que os Serviços tenham seletores exclusivos em um namespace. Os seletores são considerados iguais se tiverem chaves e valores idênticos. Os seletores podem compartilhar um par de chave/valor, desde que haja pelo menos um par de chave/valor distinto entre eles.

dryrun

N/A

Observação:
  • O namespace dapr-system só é necessário se você instalar o Process Mining e o Task Mining.
  • O namespace airflow só é necessário se você instalar o Process Mining.
  • prereq** são namespaces temporários criados ao executar um pré-requisito ou verificação de integridade. Os namespaces se excluem automaticamente após a conclusão.

Políticas de rede

O Automation Suite é pré-configurado com as políticas de rede padrão do Kubernetes para seguir o princípio do acesso à rede com privilégio mínimo. Você pode optar por pular a instalação de políticas de rede fornecidas pela UiPath adicionando network-policies sob a lista exclude components em input.json. Para saber mais sobre componentes opcionais, consulte a pilha do Automation Suite.
O Automation Suite impõe a rede de, para e dentro do namespace uipath. Se você trouxer suas próprias políticas de rede ou se tiver uma CNI personalizada (por exemplo, Cilium Enterprise ou Calico Tigera Enterprise), certifique-se de atualizar suas políticas para espelhar o gráfico do Helm network-policies.
Você pode encontrar o gráfico do Helm network-policies do Automation Suite executando o seguinte comando.
Observação:
  • Você deve substituir <automation-suite-version> por sua versão atual do Automation Suite no seguinte comando.
  • Você deve descompactar o arquivo para extrair o gráfico do Helm.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

Requisitos de privilégio de cluster

O acesso de administrador do cluster é necessário para uipathctl no seu nó de gerenciamento para instalar e gerenciar o Automation Suite no seu cluster dedicado. Esse nível de acesso é necessário para componentes no nível do sistema no Automation Suite, como Istio (roteamento/malha de serviço) e ArgoCD (implantação e gerenciamento do ciclo de vida do aplicativo), e para criar namespaces relacionados ao Automation Suite.

FIPS 140-2

O Federal Information Processing Standards 140-2 (FIPS 140-2) é um padrão de segurança que valida a eficácia dos módulos de criptografia.

O Automation Suite no AKS pode ser executado em nós habilitados para FIPS 140-2.

Você pode habilitar o FIPS 140-2 nos nós do AKS nos quais você instala o Automation Suite nos seguintes cenários:

  1. Cenário 1: novas instalações​​ - Habilite o FIPS 140-2 antes de executar uma instalação limpa do Automation Suite 2023.4 ou posterior.
  2. Cenário 2: instalações existentes​​ - Habilite o FIPS 140-2 após executar uma instalação do Automation Suite em uma máquina com o FIPS-140-2 desabilitado.

Cenário 1: novas instalações

Para habilitar o FIPS 140-2 nas máquinas em que planeja realizar uma nova instalação do Automation Suite, siga estas etapas:

  1. Antes de iniciar a instalação do Automation Suite, habilite o FIPS 140-2 em suas máquinas.
  2. Execute a instalação do Automation Suite seguindo as instruções de instalação neste guia.
    • Ao instalar o AI Center em uma máquina habilitada para FIPS 140-2 e utilizar o Microsoft SQL Server em conjunto, algumas configurações adicionais serão necessárias. Para obter detalhes, consulte Requisitos do SQL para o AI Center.
    • Certifique-se de que o Insights esteja desabilitado, pois não é suportado em FIPS 140-2.
  3. Defina o sinalizador fips_enabled_nodes como true no arquivo input.json .
  4. Certifique-se de que seus certificados sejam compatíveis com FIPS 140-2.
    Observação:

    Por padrão, o Automation Suite gera certificados autoassinados compatíveis com FIPS 140-2, cuja data de expiração depende do tipo de instalação do Automation Suite que você escolher.

    É altamente recomendável substituir esses certificados autoassinados por certificados emitidos por CA no momento da instalação. Para usar o Automation Suite em máquinas habilitadas para FIPS 140-2, os novos certificados fornecidos devem ser compatíveis com FIPS 140-2. Para obter uma lista de cifras elegíveis com suporte do RHEL, consulte a documentação do RHEL.

    Para obter detalhes sobre como adicionar sua própria assinatura de token compatível com FIPS 140-2 e certificados TLS, consulte Configuração de certificados.

Cenário 2: instalações existentes

Você pode instalar o Automation Suite em máquinas com FIPS 140-2 desabilitado e, em seguida, habilitar o padrão de segurança nas mesmas máquinas. Isso também é possível ao atualizar para uma nova versão do Automation Suite.

Para habilitar o FIPS 140-2 nas máquinas nas quais já realizou uma instalação do Automation Suite, siga os seguintes passos:

  1. Execute uma operação regular de instalação ou atualização do Automation Suite em máquinas com FIPS 140-2 desabilitado.
  2. Habilite o FIPS 140-2 em todas as suas máquinas.
  3. Certifique-se de que seus certificados sejam compatíveis com FIPS 140-2.
    Observação:

    Para usar o Automation Suite em máquinas habilitadas para FIPS 140-2, você deve substituir seus certificados por novos compatíveis com FIPS 140-2 e assinados por uma CA. Para obter uma lista de cifras elegíveis com suporte do RHEL, consulte a documentação do RHEL.

    Para obter detalhes sobre como adicionar sua própria assinatura de token compatível com FIPS 140-2 e certificados TLS, consulte Configuração de certificados.

    Para mais informações sobre certificados, consulte .

  4. Certifique-se de que sua seleção de produtos esteja de acordo com os requisitos do FIPS-140-2:
    • Ao instalar o AI Center em uma máquina habilitada para FIPS 140-2 e utilizar o Microsoft SQL Server em conjunto, algumas configurações adicionais serão necessárias. Para obter detalhes, consulte Requisitos do SQL para o AI Center.
    • Se você habilitou o Insights anteriormente, deverá desabilitá-lo, pois não é compatível com FIPS 140-2. Para obter detalhes sobre como desabilitar a pós-instalação de produtos, consulte Gerenciando produtos.
  5. Reinicialize suas máquinas e verifique se habilitou o FIPS 140-2 com sucesso.
  6. Execute novamente o instalador uipathctl.

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.