Guía de administración de Test Cloud

Claves administradas por el cliente

Claves administradas por el cliente para Test Cloud y Test Cloud Public Sector​

• Licencias Flex : esta característica está disponible para los planes de plataforma Estándar y Avanzado.
• Licencias Unified Pricing : esta característica solo está disponible para el plan de plataforma Enterprise.
  ADVERTENCIA:

  Habilitar esta característica tiene serias implicaciones en lo que respecta al acceso a los datos. Si surgen problemas clave, corre el riesgo de perder el acceso a sus datos.

Información general​

Explicación de las claves administradas por el cliente​

• El servicio de gestión de claves (KMS): es la herramienta interna de UiPath, desarrollada con fines de cifrado de claves.
• La clave de cifrado de datos (DEK o KMS DEK): se utiliza para cifrar datos de texto simple. Por lo general, el DEK es generado por el KMS o por el almacén de claves internas de UiPath, y nunca se almacenan en texto sin cifrar.
• La clave de cifrado de claves (KEK): se utiliza para cifrar el DEK. El proceso de cifrar una clave se conoce como encapsular claves. Por lo general, el KEK lo generas tú y queda almacenado en tu almacén de claves. Es la clave administrada por el cliente que es controlada por tu servicio de gestión de claves.
• La clave de cifrado de datos cifrados (EDEK): es el DEK encapsulado por el KEK. Por lo general, esta clave es almacenada por el proveedor del servicio (como Orchestrator). Por ello, cuando un servicio necesite acceder a datos cifrados, este llama al servicio de gestión de claves del cliente para obtener el KEK necesario para descifrar el EDEK y así obtener el DEK que será utilizado para descifrar los datos.
• La clave interna de UiPath: es la utilizada para cifrar columnas de datos, incluyendo el CMK y el KMS DEK.

Habilitar claves administradas por el cliente​

• (Recomendado) Configuración automatizada: utiliza la aplicación Microsoft Entra ID administrada por UiPath (modelo multitenant) para obtener las siguientes ventajas:
  • No hay secretos ni certificados que gestionar.
  • Configuración rápida y fiable.
  • UiPath mantiene la aplicación Microsoft Entra ID por ti.
• Configuración manual con un registro personalizado de la aplicación Microsoft Entra ID: utiliza tu propia aplicación Microsoft Entra ID y gestiona su configuración manualmente, con las siguientes consideraciones:
  • Debes crear y gestionar las credenciales de la aplicación.
  • Las credenciales caducan y requieren actualizaciones periódicas.
  • Si las credenciales no se actualizan antes de que caduquen, los usuarios no podrán iniciar sesión.

Configuración automatizada con la aplicación Microsoft Entra ID administrada por UiPath (recomendado)​

Si es administrador de la organización y del ID de Microsoft Entra​

1. En la organización, ve a Admin > Seguridad > Cifrado.
2. Elige Clave administrada por el cliente y confirma la selección introduciendo el nombre de tu organización en el cuadro de diálogo de confirmación.
3. Selecciona Aplicación multitenant gestionada por UiPath (recomendada).
4. Selecciona Conceder consentimiento y luego inicia sesión con tu cuenta de Microsoft Entra ID. Después de conceder el consentimiento, UiPath crea una aplicación Microsoft Entra ID en Azure que representa a tu organización.
5. Crea tu clave de cifrado de claves y configura Azure Key Vault.
6. Introduce el URI de clave de Azure Key Vault de la clave de cifrado de claves.
   • Si proporcionas un URI de clave sin versión, UiPath utiliza la última versión de clave automáticamente (rotación de claves habilitada).
   • Si proporcionas un URI de clave versionada, UiPath cifra todos los datos con esa versión de clave específica.
7. Selecciona Probar y guardar para activar la integración. Si se produce un error, verifique sus credenciales e inténtelo de nuevo.

Solo si es administrador de la organización​

1. En la organización, ve a Admin > Seguridad > Cifrado.
2. Selecciona Customer managed key y confirma la selección introduciendo el nombre de tu organización en el cuadro de diálogo de confirmación.
3. Selecciona Aplicación multitenant gestionada por UiPath (recomendada).
4. Selecciona Conceder consentimiento y luego inicia sesión con tu cuenta de Microsoft Entra ID. Como no tienes derechos de administrador de Microsoft Entra ID, deberías ver una de las siguientes solicitudes:
   1. Solicitar aprobación, como se muestra en la documentación de Microsoft: Solicitar aprobación del administrador. Después de que tu administrador de Microsoft Entra ID apruebe la solicitud, continúa con el siguiente paso.
   2. Necesita la aprobación del administrador, como se muestra en la documentación de Microsoft: pide a tu administrador de Microsoft Entra ID que siga los siguientes pasos:
      1. Dirígete a esta URL para abrir la solicitud de consentimiento de Microsoft Entra ID.
      2. Selecciona Consentimiento en nombre de tu organización y luego Aceptar.
5. Después de recibir la confirmación de que se ha concedido el consentimiento del administrador, crea tu clave de cifrado y configura Azure Key Vault, luego vuelve a UiPath y repite los pasos 1 a 4.
   • Un inicio de sesión correcto indica que la integración está configurada correctamente.
   • Si el inicio de sesión falla, pide a tu administrador de Microsoft Entra ID que verifique que el consentimiento se ha concedido correctamente.
6. Introduce el URI de clave de Azure Key Vault de la clave de cifrado de claves.
   • Si proporcionas un URI de clave sin versión, se habilita la rotación automática de claves y Test Cloud utiliza la versión de clave más reciente.
   • Si proporcionas un URI de clave versionada, Test Cloud cifra todos los datos con esa versión de clave específica.
7. Selecciona Probar y guardar para activar la integración. Si se produce un error, verifique sus credenciales e inténtelo de nuevo.

Configuración manual con el registro personalizado de la aplicación Microsoft Entra ID​

1. Crea el registro de la aplicación Microsoft Entra ID.

   1. En el centro de administración de Microsoft Entra, ve a Registros de aplicaciones > Nuevo registro.
   2. Introduce un nombre de tu elección.
   3. Establece Tipos de cuenta compatibles en Cuentas solo en este directorio de la organización.
   4. Complete el registro.

2. Crear credenciales.

   Ve a Certificados y secretos en el registro de tu aplicación y elige uno de los siguientes métodos:

   • Para utilizar un secreto de cliente:
     1. Selecciona Nuevo secreto de cliente.
     2. Guarda el valor del secreto generado. Lo necesitará más tarde.
   • Para utilizar un certificado:
     1. En una nueva pestaña del navegador, ve a Azure Key Vault.
     2. Crear un certificado:
        • Asunto: CN=uipath.com
        • Tipo de contenido: PEM
        • Tamaño máximo: menos de 10 KB
     3. Descarga el certificado en formato .pem .
     4. Abre el archivo .pem en un editor de texto. Debe contener las siguientes secciones:
        • -----BEGIN PRIVATE KEY----- / -----END PRIVATE KEY-----
        • -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----
     5. Crea un nuevo archivo .pem que contenga solo las líneas entre BEGIN CERTIFICATE y END CERTIFICATE.
     6. En la sección Certificados y secretos del registro de tu aplicación, carga este nuevo archivo .pem .
     7. Conserve una copia del certificado. Lo necesitará más tarde para completar la integración.
     Importante:

     La mayoría de los tipos de credenciales caducan con el tiempo. Para evitar problemas de inicio de sesión de usuario, actualiza la configuración antes de que caduquen las credenciales. Para evitar esta sobrecarga, utiliza la configuración automatizada con la aplicación Microsoft Entra ID administrada por UiPath.

3. Recopilar detalles de integración.

   Recopila los siguientes valores y proporciónalos al administrador de la organización:

   • ID de la aplicación (cliente)
   • ID (de tenant) del Directorio
   • Secreto o certificado de cliente

4. Crea tu clave de cifrado de claves y configura Azure Key Vault.

   Prepara tu clave de cifrado y anota el identificador de clave de Azure Key Vault. Elija uno de los siguientes formatos:

   • URI de clave sin versión: habilita la rotación automática de claves. UiPath siempre utiliza la versión de clave más reciente.
   • URI de clave versionada: bloquea el cifrado a una versión de clave específica. UiPath cifra todos los datos que utilizan esa versión.

5. Activa la integración en la organización.

   1. Inicia sesión en UiPath como administrador.
   2. Ve a Admin > Seguridad > Cifrado.
   3. Selecciona Clave administrada por el cliente y confirma la selección introduciendo el nombre de tu organización.
   4. Selecciona ID de registro de aplicación personalizado y secreto.
   5. Introduce los siguientes datos recopilados anteriormente:
      • ID (de tenant) del Directorio
      • ID de la aplicación (cliente)
      • Secreto o certificado de cliente
      • Identificador de clave de Azure Key Vault
   6. Selecciona Probar y guardar para activar la integración.

Crear la clave de cifrado de claves y configurar Azure Key Vault​

• Puedes crear el almacén de claves en cualquier región, pero recomendamos utilizar la misma región que tu organización de Test Cloud.
• UiPath requiere acceso al Key Vault utilizado para la clave administrada por el cliente. Para limitar el ámbito, recomendamos crear un almacén dedicado para este propósito.
• La característica funciona con cualquier tamaño de clave compatible con Azure Key Vault.
• Para realizar operaciones criptográficas, debes conceder los permisos Ajustar clave y Desbloquear clave . Estos permisos son necesarios independientemente de si utilizas políticas de acceso de Azure RBAC (Control de acceso basado en roles) o Key Vault para gestionar el acceso.

1. En el portal de Microsoft Azure, ve a Azure Key Vault y selecciona un almacén existente o crea uno nuevo.

2. Crea una nueva clave y copia el URI de la clave. Necesitas el URI para configurarlo en Test Cloud.

   Elige una de las siguientes opciones para el URI de clave:

   • URI de clave sin versión: habilita la rotación automática de claves. Test Cloud siempre utiliza la última versión de la clave.
   • URI de clave versionada: bloquea el cifrado a una versión de clave específica. Test Cloud cifra todos los datos que utilizan esa versión.

3. Otorga acceso a la aplicación Microsoft Entra ID creada anteriormente.

   Utiliza las políticas de acceso de Azure RBAC o Key Vault para conceder los permisos necesarios.

4. Vuelve a Test Cloud para completar la configuración.

Editar la clave gestionada por el cliente​

Rotación de claves​

Rotación manual de claves​

1. Crea una nueva clave en el Almacén de claves de Azure que configuraste anteriormente.
2. En tu organización, ve a Admin > Seguridad.
3. En Clave administrada por el cliente, selecciona Editar conexión.
4. Reemplaza el identificador de clave existente por el nuevo URI de clave.
   Nota:

   La rotación de claves solo funciona si tanto la clave antigua como la nueva siguen siendo válidas.

Rotación automática de claves​

1. En Azure Key Vault, crea una política de rotación para tu clave.
2. En tu organización, ve a Configuración de clave administrada por el cliente y proporciona el identificador de clave sin versión. Para conocer los pasos de configuración, consulta Habilitar la clave administrada por el cliente.
3. Después de cada rotación de claves en Azure Key Vault, UiPath obtiene y aplica automáticamente la última versión de la clave. UiPath comprueba automáticamente si hay nuevas versiones de clave cada hora. Cuando una nueva versión está disponible, se recupera y se aplica sin necesidad de actualizaciones manuales.
   Importante:

   • No desactives ni modifiques los permisos de acceso para versiones de clave anteriores. Tanto la versión de la clave anterior como la actual deben permanecer accesibles para mantener el acceso ininterrumpido a los datos cifrados durante el proceso de rotación.
   • Puedes ver tanto los cambios manuales en la configuración de claves administradas por el cliente, como las actualizaciones del identificador de clave, como los eventos de rotación automática de claves en la sección Registros de auditoría en Administración en la organización.

Reducción de licencias​

• The Customer managed key option is still enabled for you, but it is greyed out in the interface. As such, you can no longer edit its values, such as changing key vault details.
• You can switch to UiPath managed key (Default), but you will not be able to revert to Customer managed key until your plan is upgraded to Enterprise.

Mejores prácticas para el uso de claves administradas por el cliente​

• Una vez que comiences a utilizar una nueva clave como parte del proceso de rotación de claves, la antigua ya no podrá utilizarse para acceder y cifrar datos. Por lo tanto, es importante mantener las claves antiguas en el almacén de claves, es decir, para deshabilitarlas en lugar de eliminarlas. Esto es especialmente importante en escenarios de recuperación de desastres, en los que UiPath puede necesitar volver a una copia de seguridad de una versión anterior de la base de datos. Si esa copia de seguridad utiliza una de tus claves antiguas, puedes rotarla para recuperar el acceso a los datos. Si eliges eliminar una clave, es importante que utilices la función de eliminación suave .

• Si pierdes tu clave, ya no podrás conectarte al almacén. Deberías crear siempre una copia de seguridad de la clave en el portal de Azure o en un almacén de claves seguro separado de Azure, de acuerdo con las políticas de seguridad de tu organización.

• Si estás aprovechando el inicio de sesión único para acceder a los servicios de UiPath, puedes considerar crear una cuenta local para que funcione como una cuenta de emergencia. Dado que la información del proveedor de identidades externo se incluye en los datos cifrados por la clave administrada por el cliente, las cuentas de SSO serán inaccesibles en caso de que no se pueda acceder a tu almacén de claves.

• A efectos de seguridad, los usuarios que no tengan privilegios de administrador de nivel superior no deberían tener derechos de purga sobre claves administradas por el cliente.

• Si ya no quieres que UiPath tenga acceso a tus datos, puedes deshabilitar la clave desde Azure Key Vault, como se muestra en la siguiente imagen:

  

Claves administradas por el cliente para Test Cloud Dedicated​

Recursos compatibles​

• Cuentas de Azure Storage
• Servidores SQL de Azure
• Discos de Azure
• Snowflake
  Nota:

  Azure Databricks y Azure Event Hubs no admiten claves administradas por el cliente (CMK) entre tenants. Estos servicios requieren que Key Vault resida en el mismo tenant de Microsoft Entra que los recursos de Azure asociados y, por lo tanto, no se pueden cifrar utilizando CMK entre tenants. Insights utiliza estos servicios internamente para admitir el procesamiento de telemetría y análisis:

  • Azure Event Hubs: amortigua la transmisión de telemetría, como registros de robots y eventos de ejecución, datos de ejecución de trabajos, eventos de elementos de cola, supervisión en tiempo real. Los datos en Event Hubs son transitorios y no se almacenan a largo plazo.
  • Azure Databricks: procesa y almacena datos analíticos, incluidos datos de supervisión en tiempo real, agregaciones históricas y métricas de ejecución de robots procesadas. Estos servicios utilizan claves administradas por Microsoft para el cifrado en reposo y no se pueden configurar con claves administradas por el cliente.

Arquitectura​

1. Tenant de UiPath: aloja los recursos de Azure que requieren cifrado.

2. Tu tenant: aloja Azure Key Vault y la clave administrada por el cliente.

3. Aplicación multitenant: registrada por UiPath e instalada en tu tenant para habilitar el acceso seguro entre tenants.

4. Identidad administrada: asignada a la aplicación UiPath, utilizada para autenticarse en tu Key Vault.

5. Credenciales federadas: permite que la aplicación UiPath utilice la identidad administrada sin almacenar secretos.

6. Azure Key Vault: almacena tu clave administrada por el cliente.

   El flujo de cifrado es el siguiente:

7. Generas un ticket de soporte para recibir el ID de registro y el nombre de la aplicación.

8. UiPath registra una aplicación multitenant y adjunta una identidad administrada asignada por el usuario.

9. La aplicación se instala en tu tenant de Azure.

10. Creas la clave en tu Key Vault y compartes el URI de la clave (con la versión) con UiPath.

11. Asignas los siguientes permisos a la aplicación a través de Azure RBAC: get, wrapKey, unwrapKey.

12. UiPath configura los recursos de Azure relevantes para utilizar la clave para el cifrado y descifrado.

Requisitos previos​

• Requisitos de Azure Key Vault :
  • La eliminación suave y la protección de purga están habilitadas.
  • Los bloqueos de recursos se configuran en el Almacén de claves y las claves.
  • La clave debe ser del tipo RSA de 2048 bits. Estas configuraciones evitan la eliminación accidental y garantizan la capacidad de recuperación.
• Permisos y configuración:
  • Genera un ticket de soporte para solicitar a UiPath un ID y un nombre de registro de la aplicación multitenant.
  • Debes crear la clave en tu tenant y autorizar el acceso a ella para la aplicación de UiPath.
  • La rotación de claves es compatible si tu clave tiene el control de versiones habilitado.

Pasos​

1. Crea o selecciona un almacén de claves de Azure en tu tenant de Azure.

2. Configura el almacén de claves y la clave de cifrado de acuerdo con los siguientes requisitos:

   • Habilitar la eliminación suave y la protección de purga. Garantiza que las claves o almacenes eliminados puedan restaurarse hasta en 90 días.
   • Aplica un bloqueo de recursos tanto en Key Vault como en la clave. Evita eliminaciones o cambios accidentales.
   • Selecciona RSA de 2048 bits como tipo de clave.
   • Asegúrate de que Key Vault está en la misma región que tus recursos de disco de Azure (necesario para el cifrado de disco de Azure).
   • En Redes, selecciona Permitir que los servicios de Microsoft de confianza omitan este cortafuegos. Para obtener más información, consulta Configurar claves administradas por el cliente entre tenants para una nueva cuenta de almacenamiento: Azure Storage. .

3. Instala la aplicación multitenant de UiPath en tu tenant de Azure utilizando la información proporcionada por el equipo de soporte.

4. Asigna el rol de Azure RBAC Key Vault Crypto Service Encryption User a la aplicación UiPath para que pueda acceder a Key Vault.

   Como alternativa, concede a la aplicación UiPath una política de acceso a Key Vault con los siguientes permisos: get, wrapKey y unwrapKey.

5. Comparte el URI de la clave con UiPath a través del ticket de soporte creado anteriormente.

   Nota:

   Puedes utilizar una única clave para todos los recursos compatibles o claves independientes para cada recurso, como SQL, almacenamiento, disco, Snowflake. Si eliges utilizar claves diferentes, proporciona a UiPath los URI de clave correspondientes a través de tu ticket de soporte.

6. Utilizando los URI de clave que proporcionaste, UiPath configura el cifrado en tus recursos basados en Azure y aplica claves administradas por el cliente (CMK) a los componentes compatibles, incluidos los recursos de almacenamiento, SQL, disco y Snowflake. Si quieres aplicar CMK a los recursos de Snowflake, debes seguir estos pasos adicionales:

   1. Realiza los pasos 1 a 2.5 de esta guía de la comunidad de Snowflake.
   2. Proporciona el resultado del paso 2.5 a UiPath a través de tu ticket de soporte.
   3. UiPath completa el registro automático Tri-Secret Secure con Azure Key Vault mencionado en el paso 2.5 y el paso 3.1.
   4. UiPath comparte el enlace de consentimiento de Azure y el nombre principal de Snowflake.
   5. Continúa con el procedimiento de Snowflake descrito aquí, empezando por el paso 3.
   6. En el paso 4, si necesitas controles de acceso público para Key Vault (a través de IP específicas o redes virtuales), ponte en contacto con UiPath para obtener los detalles de la subred.
   7. UiPath completa el paso 4.5.

7. Notificar cuando el cifrado con CMK está activo.

Prevención de pérdida de datos​

• Rotación de claves:
  • Los servicios de Azure comprueban si hay una nueva versión de clave una vez al día. Cambiar la versión de la clave no causa tiempo de inactividad. Para obtener más información, consulta Claves administradas por el cliente para el cifrado de cuentas: Azure Storage.
  • Después de rotar, espere 24 horas antes de deshabilitar la versión anterior.
  • Las copias de seguridad más antiguas no se vuelven a cifrar, así que mantén las versiones de clave antiguas disponibles para las restauraciones.
• Revocación temporal:
  • Puedes deshabilitar una clave sin eliminarla.
  • Esto bloquea el acceso a los recursos cifrados, pero no afecta al estado de cifrado.
  • El acceso se restaura cuando se vuelve a habilitar la clave.
  • Mientras está deshabilitado, las operaciones devolverán errores 403 prohibidos.