Draft v1.0
Auteurs: Energent.ai Beveiligings- en Engineeringteam
Samenvatting
Energent.ai biedt een AI-gestuurde virtuele desktopagent die complexe multi-applicatieworkflows voor bedrijfsgebruikers automatiseert. Omdat de agent werkt met gevoelige bedrijfsgegevens en brede bevoegdheden kan krijgen op gebruikersdesktops en cloudbronnen, zijn beveiliging en privacy fundamenteel voor ons productontwerp. Dit whitepaper documenteert het dreigingsmodel, de defensieve architectuur, beveiligingsmaatregelen en de nalevingshouding van het Energent-platform. Het is gemodelleerd naar de gestructureerde, datagestuurde aanpak die wordt gebruikt in het CambioML AnyParser whitepaper en is afgestemd op de best practices van de AWS Well-Architected Security Pillar en de NIST SP 800-53 Rev 5 beveiligingscontrole richtlijnen.
Inhoudsopgave
- Inleiding
- Energent Platform Architectuur
- Dreigingsmodel
- Beveiligingsmaatregelen
- Naleving & Governance
- Operationele Beveiliging
- Klantenimplementatieopties
- Conclusie
- Bijlage A – Controle Mapping
- Referenties
1 Inleiding
1.1 Doel
Dit document stelt beveiligings-, IT- en nalevingsteams in staat om te evalueren of Energent.ai voldoet aan hun organisatorische beveiligingseisen. Het beschrijft hoe we gegevens, systemen en gebruikers beschermen gedurende de levenscyclus van de agent, van ontwikkeling tot productieoperaties.
1.2 Toepassingsgebied
- Energent Cloud (SaaS). Multi-tenant service die door Energent.ai op AWS wordt beheerd.
- Private Cloud / VPC-Isolatie. Toegewijde single-tenant stack geïmplementeerd in een klant-gecontroleerd account op AWS, Azure of GCP.
- On-Prem/VM. Air-gapped Linux VM-image voor sterk gereguleerde omgevingen.
1.3 Doelgroep
CISOs, beveiligingsarchitecten, DevOps-ingenieurs, auditors en inkoopprofessionals die Energent.ai evalueren.
2 Energent Platform Architectuur
2.1 Hoog-niveau Componenten
| Component | Beschrijving |
|---|---|
| Agent Runtime (Edge VM) | Een op Linux gebaseerde virtuele desktop die de computer vision- en RPA-kernen evenals door klanten aangeleverde workflowscripts host. Draait in een sandbox zonder inkomende poorten. |
| Control Plane (AWS) | Multi-AZ microservices ontworpen rond een zero-trust model. Biedt authenticatie, beleidsafstemming, orkestratie en auditlogging. |
| Data Plane | S3-ondersteunde versleutelde objectopslag en eventbus gebruikt voor artefactuitwisseling (screenshots, logs, workflowmetadata). Alle gegevens zijn versleuteld met AWS KMS klant-beheerde sleutels (CMK's). |
| Admin Console | Web UI waar beheerders rollen, beleidsregels configureren en auditsporen bekijken. Front-end wordt geleverd via Amazon CloudFront met TLS 1.3 afgedwongen. |
Figuur 1. Logisch overzicht van Energent-componenten en vertrouwensgrenzen.
2.2 Veilig-ontworpen Principes
- Minste privilege & micro-segmentatie. IAM-rollen en beveiligingsgroepen beperken elke service tot de minimale benodigde machtigingen.
- Eind-tot-eind encryptie. TLS 1.2+ voor gegevens in transit; AES-256-GCM voor gegevens in rust met behulp van KMS-beheerde sleutels.
- Onveranderlijke infrastructuur. Alle rekennodes worden opnieuw opgebouwd vanuit ondertekende AMI's; geen in-place wijzigingen.
- Continue nalevingsautomatisering. Guardrails gecodificeerd in IaC en AWS Config-regels om drift te detecteren.
3 Dreigingsmodel
3.1 Activa
- Gebruikersreferenties en API-tokens
- Workflow-artefacten (screenshots, geëxtraheerde gegevens, gegenereerde documenten)
- Proprietaire workflowlogica
3.2 Tegenstanders & Capaciteiten
| Tegenstander | Capaciteit |
|---|---|
| Externe aanvaller | Netwerkscanning, phishing, malware, credential stuffing |
| Kwaadaardige insider | Bevoorrechte console/API-toegang |
| Gecompromitteerde derde partij afhankelijkheid | Aanval op de toeleveringsketen, software backdoor |
3.3 Vertrouwensgrenzen
- Tenant-isolatie tussen klantstacks.
- Scheiding tussen controle- en datavlak.
- In-VM sandbox versus hostomgeving.
4 Beveiligingsmaatregelen
4.1 Identiteit, Authenticatie & Autorisatie
- SSO via SAML 2.0 / OIDC met MFA-afdwinging.
- Fijnmazige ABAC IAM-beleidsregels voor alle microservices.
- Just-in-time (JIT) bevoorrechte toegang met automatische vervaldatum.
4.2 Netwerk- & Infrastructuurbeveiliging
- VPC-niveau egress-only gateways; geen openbare load balancers in private-cloudmodus.
- Al het API-verkeer wordt beëindigd bij AWS ALB met WAF WebACL (OWASP Top 10 regels).
- Opt-in privéverbinding via AWS PrivateLink of klant-VPN.
4.3 Gegevensbescherming
- Server-side encryptie (SSE-KMS) voor S3; client-side encryptie SDK beschikbaar.
- Veld-niveau encryptie voor PII/PHI met behulp van AES-256 + envelopsleutels.
- Automatische sleutelrotatie en per-tenant CMK's.
4.4 Applicatiebeveiliging
- Veilige coderingsnormen (OWASP ASVS L2).
- Geautomatiseerde SCA, SAST en DAST-pijplijnen geïntegreerd in CI/CD.
- Afhankelijkheidsvergrendelingen met geverifieerde PyPI/npm-handtekeningen.
4.5 Geheimen & Sleutelbeheer
- Geheimen opgeslagen in AWS Secrets Manager met automatische rotatie.
- Agents trekken tijdsgebonden sessietokens via STS AssumeRole, nooit langlevende sleutels.
4.6 Veilige Ontwikkelingscyclus
- Dreigingsmodellering voor elke epic (STRIDE-methodologie).
- Codebeoordelingen vereisen goedkeuring door twee personen en het slagen voor beveiligingspoorten.
- Reproduceerbare builds met Sigstore-provenance.
5 Naleving & Governance
5.1 Gedeeld Verantwoordelijkheidsmodel
Energent hanteert de gedeelde verantwoordelijkheidsbenadering van AWS, waarbij AWS de onderliggende cloud "van de cloud" beveiligt, en Energent alles "in de cloud" beveiligt.
5.2 Auditcertificeringen (In Behandeling 2025)
| Kader | Status | Toepassingsgebied |
|---|---|---|
| SOC 2 Type II | Onder Audit (ETA Q4 2025) | Energent Cloud (VS & EU-regio's) |
| ISO/IEC 27001:2022 | Gepland | Bedrijfs- en private-cloud implementaties |
| GDPR & CCPA | Geïmplementeerd | Portaal voor rechten van betrokkenen & DPA |
5.3 Controle Mapping
Bijlage A biedt een gedetailleerde mapping van Energent-controles naar NIST SP 800-53 Rev 5
families (AC, AU, SC, SI, enz.).
6 Operationele Beveiliging
6.1 Monitoring, Detectie & Respons
- Gecentraliseerde logaggregatie in Amazon OpenSearch met onveranderlijke S3-back-ups.
- GuardDuty, Inspector en Security Hub stellen continue dreigingsdetectie in staat.
- 24×7 on-call Security Incident Response Team (SIRT) met gedocumenteerde runbooks.
6.2 Kwetsbaarheidsbeheer & Pen-testen
- Wekelijkse scans van containerafbeeldingen; kritieke CVE's worden binnen 24 uur gepatcht.
- Jaarlijkse penetratietests door derden en klant-gecommissioneerde tests toegestaan.
6.3 Bedrijfscontinuïteit & Rampenherstel
- Alle persistente gegevens worden opgeslagen in multi-AZ, versiebeheerde S3 met Cross-Region Replication.
- RPO ≤ 15 minuten, RTO ≤ 1 uur voor kritieke diensten.
7 Klantenimplementatieopties
7.1 Energent Cloud (SaaS)
- Standaardoptie; snelste onboarding; erft de beveiliging van de wereldwijde infrastructuur van AWS.
7.2 Private Cloud / VPC-Isolatie
- Energent-stack geïmplementeerd door Terraform in het klant AWS-account, met controle over gegevensresidentie.
7.3 On-Prem / VM-Alleen
- Offline-capabele VM-image; hardware root-of-trust attestatie ondersteund via TPM/SGX.
8 Conclusie
Energent.ai combineert verdediging-in-de-diepte engineering, rigoureuze operationele processen en transparante naleving om klantgegevens op elke laag te beschermen. Door te voldoen aan toonaangevende industrie-frameworks zoals AWS Well-Architected en NIST SP 800-53, leveren we een platform dat veilige, schaalbare automatisering mogelijk maakt zonder het vertrouwen van de gebruiker in gevaar te brengen.
Bijlage A – Controle Mapping (Uittreksel)
| NIST 800-53 Familie | Controle ID | Energent Implementatie |
|---|---|---|
| Toegangscontrole | AC-2 | SSO + MFA + SCIM provisioning |
| Audit & Verantwoordelijkheid | AU-6 | Onveranderlijke logs, tamper-evident S3 + CloudTrail |
| Systeem- & Communicatiebescherming | SC-13 | Eind-tot-eind encryptie, TLS 1.3 afgedwongen |
| Systeemintegriteit | SI-2 | Geautomatiseerd patchen via AWS SSM |
Volledige matrix op verzoek beschikbaar.
Referenties
- AWS Well-Architected Framework – Security Pillar, 6 nov 2024
- NIST SP 800-53 Rev 5, “Beveiligings- en Privacycontroles voor Informatie Systemen en Organisaties,” sept 202
- CambioML & Epsilla, “2× Nauwkeurigheid Bereiken in Kennisretrieval van Grafieken en Tabellen,” 2 aug 2024