Guia do administrador do Test Cloud

Chaves gerenciadas pelo cliente

Chaves gerenciadas pelo cliente para o Test Cloud e o Test Cloud Setor Público​

• Licenciamento Flex: essa funcionalidade está disponível para os planos de plataforma Padrão e Avançado.
• Licenciamento Unified Pricing : essa funcionalidade está disponível apenas para o plano de plataforma Enterprise.
  AVISO:

  Habilitar a chave tem implicações sérias no que diz respeito ao acesso aos dados. Se surgirem problemas importantes, você corre o risco de perder acesso aos seus dados.

Visão geral​

Chaves gerenciadas pelo cliente explicadas​

• O serviço de gerenciamento de chaves (KMS) - essa é a ferramenta interna da UiPath, desenvolvida para fins de criptografia com chaves.
• A chave de criptografia de dados (DEK ou KMS DEK) - usada para criptografar dados em texto simples. Em geral, a DEK é gerada pela KMS ou pelo cofre de chaves internos do UiPath e nunca é armazenado em nenhum outro lugar em texto não criptografado.
• A chave de criptografia de chaves (KEK) - usada para criptografar a DEK. O processo de criptografar uma chave é conhecido como envolvimento da chave. Em geral, a KEK é gerada por você, é armazenada em seu cofre de chaves e constitui a chave real gerenciada pelo cliente, que é controlada por seu serviço de gerenciamento de chaves.
• A chave de criptografia de dados (EDEK) - é a DEK que foi envolvida pela KEK. Em geral, essa chave é armazenada pelo provedor de serviços (como o Orchestrator); consequentemente, sempre que um serviço precisa acessar dados criptografados, o serviço chama o serviço de gerenciamento de chaves do cliente para obter a KEK necessária para descriptografar a EDEK e para produzir a DEK, que é usada, então, para descriptografar os dados.
• A chave interna do UiPath - é usada para criptografar colunas de dados incluindo a CMK e a KMS DEK.

Habilitação da chave gerenciada pelo cliente​

• (Recomendado) Configuração automatizada: use o aplicativo Microsoft Entra ID gerenciado pela UiPath (modelo de vários tenants) para os seguintes benefícios:
  • Sem segredos ou certificados para gerenciar.
  • Configuração rápida e confiável.
  • A UiPath mantém o aplicativo Microsoft Entra ID para você.
• Configuração manual com um registro de aplicativo Microsoft Entra ID personalizado: use seu próprio aplicativo Microsoft Entra ID e gerencie sua configuração manualmente, com as seguintes considerações:
  • Você precisa criar e gerenciar as credenciais dos aplicativos.
  • As credenciais expiram e exigem atualizações periódicas.
  • Se as credenciais não forem atualizadas antes de expirarem, os usuários serão impedidos de fazer logon.

Configuração automatizada com aplicativo Microsoft Entra ID gerenciado pela UiPath (Recomendado)​

Se você for um Microsoft Entra ID e administrador da organização​

1. Na organização, acesse Admin > Segurança > Criptografia.
2. Escolha Chave gerenciada pelo cliente e confirme a seleção inserindo o nome da sua organização na caixa de diálogo de confirmação.
3. Selecione Aplicativo para vários tenants gerenciados pela UiPath (Recomendado).
4. Selecione Conceder consentimento e, em seguida, faça login com sua conta do Microsoft Entra ID. Após você conceder o seu consentimento, a UiPath cria um aplicativo do Microsoft Entra ID no Azure que representa sua organização.
5. Crie sua chave de criptografia e configure o Azure Key Vault.
6. Insira o URI da chave do Azure Key Vault da chave de criptografia de chaves.
   • Se você fornecer um URI de chave sem versão, a UiPath usará a versão de chave mais recente automaticamente (rotação de chave habilitada).
   • Se você fornecer um URI de chave com controle de versão, a UiPath criptografa todos os dados com essa versão de chave específica.
7. Selecione Testar e salvar para ativar a integração. Se ocorrer um erro, verifique suas credenciais e tente novamente.

Se você for apenas um administrador da organização​

1. Na organização, acesse Admin > Segurança > Criptografia.
2. Selecione Customer managed key e confirme a seleção inserindo o nome de sua organização na caixa de diálogo de confirmação.
3. Selecione Aplicativo para vários tenants gerenciados pela UiPath (Recomendado).
4. Selecione Conceder consentimento e, em seguida, faça login com sua conta do Microsoft Entra ID. Como você não tem os direitos de administrador do Microsoft Entra ID, você deve ver um dos seguintes prompts:
   1. Solicitar aprovação, conforme descrito na documentação da Microsoft: Solicitar aprovação do administrador. Depois que o administrador do Microsoft Entra ID aprovar a solicitação, continue para a próxima etapa.
   2. Precisa de aprovação do administrador, conforme descrito na documentação da Microsoft: peça ao administrador do Microsoft Entra ID para executar as seguintes etapas:
      1. Navegue até esta URL para abrir a solicitação de consentimento do Microsoft Entra ID.
      2. Selecione Consentimento em nome de sua organização e, em seguida, Aceitar.
5. Depois de receber a confirmação de que o consentimento do administrador foi concedido, crie sua chave de criptografia e configure o Azure Key Vault, em seguida, retorne para a UiPath e repita as etapas 1 a 4.
   • Um login bem-sucedido indica que a integração foi configurada corretamente.
   • Se o login falhar, peça ao seu administrador do Microsoft Entra ID para verificar se o consentimento foi concedido corretamente.
6. Insira o URI da chave do Azure Key Vault da chave de criptografia de chaves.
   • Se você fornecer um URI de chave sem versão, a rotação automática de chave será habilitada e o Test Cloud usará a versão mais recente da chave.
   • Se você fornecer um URI de chave com controle de versão, o Test Cloud criptografa todos os dados com essa versão de chave específica.
7. Selecione Testar e salvar para ativar a integração. Se ocorrer um erro, verifique suas credenciais e tente novamente.

Configuração manual com registro do aplicativo de ID de entrada personalizado da Microsoft​

1. Crie o registro do aplicativo Microsoft Entra ID.

   1. No centro de administração do Microsoft Entra, acesse Registros de aplicativos > Novo registro.
   2. Insira um nome de sua escolha.
   3. Defina Tipos de conta compatíveis como Apenas contas neste diretório organizacional.
   4. Conclua o registro.

2. Crie credenciais.

   Acesse Certificados e segredos no registro do seu aplicativo e escolha um dos seguintes métodos:

   • Para usar um segredo do cliente:
     1. Selecione Novo segredo do cliente.
     2. Salve o valor do segredo gerado. Você precisará disso mais tarde.
   • Para usar um certificado:
     1. Em uma nova guia do navegador, navegue até o Azure Key Vault.
     2. Crie um certificado:
        • Assunto: CN=uipath.com
        • Tipo de conteúdo: PEM
        • Tamanho máximo: menos de 10 KB
     3. Baixe o certificado no formato .pem .
     4. Abra o arquivo .pem em um editor de texto. Ele deve conter as seguintes seções:
        • -----BEGIN PRIVATE KEY----- / -----END PRIVATE KEY-----
        • -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----
     5. Crie um novo arquivo .pem contendo apenas as linhas entre BEGIN CERTIFICATE e END CERTIFICATE.
     6. Na seção Certificados e segredos do registro de seu aplicativo, carregue esse novo arquivo .pem .
     7. Mantenha uma cópia do certificado. Você precisará dele mais tarde para concluir a integração.
     Importante:

     A maioria dos tipos de credenciais eventualmente expira. Para evitar problemas de login do usuário, atualize a configuração antes que as credenciais expirem. Para evitar essa sobrecarga, use a configuração automatizada com o aplicativo Microsoft Entra ID gerenciado pela UiPath.

3. Colete detalhes da integração.

   Reúna os seguintes valores e forneça-os ao administrador da organização:

   • ID do aplicativo (cliente)
   • ID do Diretório (tenant)
   • Segredo ou certificado do cliente

4. Crie sua chave de criptografia e configure o Azure Key Vault.

   Prepare sua chave de criptografia e anote o identificador de chave do Azure Key Vault. Escolha um dos seguintes formatos:

   • URI de chave sem versão: habilita a rotação automática de chave. O UiPath sempre usa a versão de chave mais recente.
   • URI da chave com controle de versão: bloqueia a criptografia para uma versão de chave específica. O UiPath criptografa todos os dados usando essa versão.

5. Ative a integração na organização.

   1. Faça login no UiPath como administrador.
   2. Acesse Admin > Segurança > Criptografia.
   3. Selecione Chave gerenciada pelo cliente e confirme a seleção inserindo o nome de sua organização.
   4. Selecione ID e segredo de registro do aplicativo personalizado.
   5. Insira os seguintes detalhes coletados anteriormente:
      • ID do Diretório (tenant)
      • ID do aplicativo (cliente)
      • Segredo ou certificado do cliente
      • Identificador de chave do Azure Key Vault
   6. Selecione Testar e salvar para ativar a integração.

Criação da chave de criptografia e configuração do Azure Key Vault​

• Você pode criar o cofre de chaves em qualquer região, mas recomendamos usar a mesma região que sua organização do Test Cloud.
• A UiPath requer acesso ao Cofre de Chaves usado para a chave gerenciada pelo cliente. Para limitar o escopo, recomendamos criar um cofre dedicado para essa finalidade.
• A funcionalidade funciona com qualquer tamanho de chave suportado pelo Azure Key Vault.
• Para executar operações criptográficas, você deve conceder permissões de Envolver chave e Remover envolvimento da chave . Essas permissões são necessárias independentemente de você usar políticas de acesso do Azure RBAC (Controle de acesso baseado em funções) ou de Key Vault para gerenciar o acesso.

1. No portal do Microsoft Azure, acesse o Azure Key Vault e selecione um cofre existente ou crie um novo.

2. Crie uma nova chave e copie o URI da chave. Você precisa do URI para configurá-lo no Test Cloud.

   Escolha uma das seguintes opções para o URI da chave:

   • URI de chave sem versão: habilita a rotação automática de chave. O Test Cloud sempre usa a versão mais recente da chave.
   • URI da chave com controle de versão: bloqueia a criptografia para uma versão de chave específica. O Test Cloud criptografa todos os dados usando essa versão.

3. Conceda acesso ao aplicativo de ID do Microsoft Entra criado anteriormente.

   Use as políticas de acesso do Azure RBAC ou do Key Vault para conceder as permissões necessárias.

4. Retorne ao Test Cloud para concluir a configuração.

Editando a Chave gerenciada pelo Cliente​

Rodízio de chaves​

Rotação manual da chave​

1. Crie uma nova chave no Azure Key Vault que você configurou anteriormente.
2. Em sua organização, acesse Admin > Segurança.
3. Em Chave gerenciada pelo cliente, selecione Editar conexão.
4. Substitua o identificador de chave existente pelo novo URI da chave.
   Observação:

   A rotação de chaves funciona apenas se a chave antiga e a nova chave permanecerem válidas.

Rotação automática da chave​

1. No Azure Key Vault, crie uma política de rotação para sua chave.
2. Em sua organização, acesse Configuração de chave gerenciada pelo cliente e forneça o identificador de chave sem versão. Para obter etapas de configuração, consulte Habilitação da chave gerenciada pelo cliente.
3. Após cada rotação de chave no Azure Key Vault, a UiPath busca e aplica automaticamente a versão mais recente da chave. A UiPath verifica automaticamente novas versões de chave a cada hora. Quando uma nova versão fica disponível, ela é recuperada e aplicada sem exigir atualizações manuais.
   Importante:

   • Não desabilite ou modifique as permissões de acesso para versões de chaves mais antigas. Tanto a versão da chave anterior quanto a atual devem permanecer acessíveis para manter o acesso ininterrupto aos dados criptografados durante o processo de rotação.
   • Você pode visualizar tanto as alterações manuais na configuração de chaves gerenciadas pelo cliente, como atualizações para o identificador de chaves, quanto eventos de rotação automática de chaves na seção Logs de auditoria em Administrador na organização .

Downgrade do licenciamento​

• The Customer managed key option is still enabled for you, but it is greyed out in the interface. As such, you can no longer edit its values, such as changing key vault details.
• You can switch to UiPath managed key (Default), but you will not be able to revert to Customer managed key until your plan is upgraded to Enterprise.

Melhores práticas para usar chaves gerenciadas pelo cliente​

• Após você começar a usar uma nova chave como parte do processo de rodízio de chaves, a antiga não poderá mais ser usada para acessar e criptografar dados. Portanto, é importante manter quaisquer chaves antigas no cofre de chaves, ou seja, para desabilitá-las em vez de excluí-las. Isso é especialmente importante em cenários de recuperação de desastres, onde o UiPath pode ter que reverter para um backup de uma versão mais antiga do banco de dados. Se esse backup usar uma de suas chaves antigas, você poderá fazer o rodízio delas para retomar o acesso aos dados. Se você optar por remover uma chave, é importante que você use a funcionalidade exclusão reversível .

• Se você perder sua chave, você não poderá mais se conectar ao cofre. Portanto, você deve sempre criar um backup da chave no portal do Azure ou em um cofre de chaves seguro separado do Azure, de acordo com as políticas de segurança de sua organização.

• Se você estiver utilizando o Logon Único para acessar os serviços do UiPath, você poderá considerar a criação de uma conta local para funcionar como uma conta para "quebrar o vidro". Como as informações do provedor de identidade externo são incluídas nos dados criptografados pela chave gerenciada pelo cliente, contas SSO estarão inacessíveis caso seu cofre de chaves se torne inacessível.

• Para fins de segurança, usuários que não possuem privilégios de administrator de nível superior não devem ter direitos de eliminação sobre a chave gerenciada pelo cliente.

• Se você não quiser mais que o UiPath tenha acesso a seus dados, você poderá desabilitar a chave no Azure Key Vault, conforme mostrado na imagem a seguir:

  

Chaves gerenciadas pelo cliente para o Test Cloud Dedicated​

Recursos compatíveis​

• Contas do Azure Storage
• Servidores SQL do Azure
• Discos do Azure
• Snowflake
  Observação:

  Azure Databricks e Hubs de eventos do Azure não são compatíveis com chaves gerenciadas pelo cliente (CMK) entre tenants. Esses serviços exigem que o Key Vault reside no mesmo tenant do Microsoft Entra que os recursos do Azure associados e, portanto, não podem ser criptografados usando CMK entre tenants. Esses serviços são usados internamente pelo Insights para dar suporte ao processamento de telemetria e análise:

  • Hubs de eventos do Azure: buffers de telemetria de streaming, como logs de robôs e eventos de execução, dados de execução de trabalhos, eventos de itens de fila, monitoramento em tempo real. Os dados em hubs de eventos são transitórios e não armazenados a longo prazo.
  • Azure Databricks: processa e armazena dados analíticos, incluindo dados de monitoramento em tempo real, agregações históricas e métricas de execução de robôs processadas. Esses serviços usam chaves gerenciadas pela Microsoft para criptografia em repouso e não podem ser configurados com chaves gerenciadas pelo cliente.

Arquitetura​

1. Tenant da UiPath: hospeda os recursos do Azure que exigem criptografia.

2. Seu tenant: hospeda o Azure Key Vault e a chave gerenciada pelo cliente.

3. Aplicativo multitenant: registrado pela UiPath e instalado em seu tenant para habilitar o acesso seguro entre tenants.

4. Identidade gerenciada: atribuída ao aplicativo UiPath, usada para autenticação em relação ao seu cofre de chaves.

5. Credenciais federadas: permitem que o aplicativo UiPath use a identidade gerenciada sem armazenar segredos.

6. Azure Key Vault: armazena sua chave gerenciada pelo cliente.

   O fluxo de criptografia é o seguinte:

7. Você abre um tíquete de suporte para receber o ID e o nome de registro do aplicativo.

8. A UiPath registra um aplicativo multitenant e anexa uma identidade gerenciada atribuída pelo usuário.

9. Você instala o aplicativo em seu tenant do Azure.

10. Você cria a chave em seu Key Vault e compartilha o URI da chave (com versão) com a UiPath.

11. Você atribui as seguintes permissões ao aplicativo por meio do Azure RBAC: get, wrapKey, unwrapKey.

12. A UiPath configura os recursos relevantes do Azure para usar a chave para criptografia e descriptografia.

Pré-requisitos​

• Requisitos do Azure Key Vault :
  • A exclusão reversível e a proteção estão habilitadas.
  • Os bloqueios de recursos são configurados no cofre de chaves e nas chaves.
  • A chave precisa ser do tipo RSA 2048 bits. Essas configurações impedem a exclusão acidental e garantem a capacidade de recuperação.
• Permissões e configuração:
  • Abra um ticket de suporte para solicitar à UiPath um ID e nome de registro de aplicativo de vários tenants.
  • Você deve criar a chave em seu tenant e autorizar acesso a ela para o aplicativo do UiPath.
  • A rotação de chaves é compatível se sua chave tiver o controle de versão habilitado.

Etapas​

1. Crie ou selecione um Azure Key Vault no seu tenant do Azure.

2. Configure o Cofre de chaves e a chave de criptografia de acordo com os seguintes requisitos:

   • Habilite a exclusão reversível e a proteção. Garante que as chaves ou cofres excluídos possam ser restaurados por até 90 dias.
   • Aplicar um bloqueio de recurso tanto no cofre de chaves quanto na chave impede exclusões ou alterações acidentais.
   • Selecione RSA 2048 bits como o tipo de chave.
   • Certifique-se de que o Key Vault esteja na mesma região que seus recursos de disco do Azure (necessário para a criptografia do Azure Disk).
   • Em Rede, selecione Permitir que serviços confiáveis da Microsoft ignorem esse firewall. Para obter etapas detalhadas, consulte Configurar chaves gerenciadas pelo cliente entre tenants para uma nova conta de armazenamento - Armazenamento do Azure. .

3. Instale o aplicativo multitenant da UiPath no seu tenant do Azure usando as informações fornecidas pela equipe de suporte.

4. Atribua a função Azure RBAC de Usuário de Criptografia do Serviço de Criptografia do Key Vault ao aplicativo UiPath para que ele possa acessar o Key Vault.

   Ou então, conceda ao aplicativo UiPath uma Política de acesso ao cofre de chaves com as seguintes permissões: get, wrapKey, e unwrapKey.

5. Compartilhe o URI da chave com a UiPath por meio do ticket de suporte criado anteriormente.

   Observação:

   Você pode usar uma única chave para todos os recursos compatíveis ou chaves separadas para cada recurso, como SQL, armazenamento, disco, Snowflake. Se você optar por usar chaves diferentes, forneça à UiPath os URIs da chave correspondentes por meio do seu ticket de suporte.

6. Usando os URIs principais que você forneceu, a UiPath configura a criptografia em seus recursos baseados no Azure e aplica chaves gerenciadas pelo cliente (CMK) a componentes compatíveis, incluindo recursos de armazenamento, SQL, disco e Snowflake. Se você deseja aplicar CMK a recursos do Snowflake, deve seguir estas etapas adicionais:

   1. Execute as etapas 1 a 2.5 neste guia da comunidade do Snowflake.
   2. Forneça a saída da etapa 2.5 para a UiPath por meio de seu ticket de suporte.
   3. A UiPath conclui o auto-registro Seguro Tri-Secret com o Azure Key Vault mencionado na etapa 2.5 e na etapa 3.1.
   4. A UiPath compartilha o link de consentimento do Azure e o nome principal do Snowflake.
   5. Continue o procedimento do Snowflake descrito aqui, começando com a etapa 3.
   6. Na etapa 4, se você precisar de controles de acesso públicos para o Key Vault (por meio de IPs específicos ou redes virtuais), entre em contato com a UiPath para obter detalhes de sub-rede.
   7. A UiPath conclui a etapa 4.5.

7. Notifique quando a criptografia com CMK estiver ativa.

Prevenção de perda de dados​

• Rotação de chaves:
  • Os serviços do Azure verificam uma nova versão de chave uma vez por dia. Alterar a versão da chave não causa tempo de inatividade. Para obter mais informações, acesse Chaves gerenciadas pelo cliente para criptografia de contas - Armazenamento do Azure.
  • Depois de rotacionar, aguarde 24 horas antes de desabilitar a versão anterior.
  • Os backups mais antigos não são recriptografados; portanto, mantenha as versões de chave antigas disponíveis para restaurações.
• Revogação temporária:
  • Você pode desabilitar uma chave sem excluí-la.
  • Isso bloqueia o acesso aos recursos criptografados, mas não afeta o estado da criptografia.
  • O acesso é restaurado quando a chave é reabilitada.
  • Enquanto desabilitada, as operações retornarão erros 403 Proibido.