Energent.ai Security Whitepaper

2025-05-27

Draft v1.0

Autori: Echipa de Securitate și Inginerie Energent.ai

Abstract

Energent.ai oferă un agent virtual de desktop alimentat de AI care automatizează fluxurile de lucru complexe multi-aplicație pentru utilizatorii din mediul enterprise. Deoarece agentul operează pe date sensibile de afaceri și poate primi privilegii extinse pe desktopurile utilizatorilor și resursele cloud, securitatea și confidențialitatea sunt fundamentale pentru designul produsului nostru. Acest document whitepaper documentează modelul de amenințare, arhitectura defensivă, controalele de securitate și postura de conformitate a platformei Energent. Este modelat pe abordarea structurată și bazată pe date utilizată în whitepaper-ul CambioML AnyParser și se aliniază cu cele mai bune practici ale AWS Well-Architected Security Pillar și cu ghidul de controale de securitate NIST SP 800-53 Rev 5.

Cuprins

  1. Introducere
  2. Arhitectura Platformei Energent
  3. Modelul de Amenințare
  4. Controalele de Securitate
  5. Conformitate și Guvernanță
  6. Securitate Operațională
  7. Opțiuni de Implementare pentru Clienți
  8. Concluzie
  9. Anexa A – Maparea Controalelor
  10. Referințe

1 Introducere

1.1 Scop

Acest document permite echipelor de securitate, IT și conformitate să evalueze dacă Energent.ai îndeplinește cerințele de securitate organizațională. Detaliază modul în care protejăm datele, sistemele și utilizatorii pe parcursul ciclului de viață al agentului, de la dezvoltare până la operațiuni de producție.

1.2 Domeniu de aplicare

  • Energent Cloud (SaaS). Serviciu multi-tenant operat de Energent.ai pe AWS.
  • Cloud Privat / VPC-Isolat. Stivă dedicată single-tenant desfășurată într-un cont controlat de client pe AWS, Azure sau GCP.
  • On-Prem/VM. Imagine de VM Linux cu aer-gapped pentru medii foarte reglementate.

1.3 Public țintă

CISOs, arhitecți de securitate, ingineri DevOps, auditori și profesioniști în achiziții care evaluează Energent.ai.

2 Arhitectura Platformei Energent

2.1 Componente de Nivel Înalt

ComponentăDescriere
Agent Runtime (Edge VM)Un desktop virtual bazat pe Linux care găzduiește nucleele de viziune computerizată și RPA, precum și scripturile de flux de lucru furnizate de client. Rulează într-un sandbox fără porturi de intrare expuse.
Control Plane (AWS)Microservicii multi-AZ concepute în jurul unui model zero-trust. Oferă autentificare, aplicarea politicilor, orchestrare și audit logging.
Data PlaneMagazin de obiecte criptate bazat pe S3 și bus de evenimente utilizat pentru schimbul de artefacte (capturi de ecran, jurnale, metadate de flux de lucru). Toate datele sunt criptate cu chei gestionate de client KMS (CMK).
Admin ConsoleUI web unde administratorii configurează roluri, politici și revizuiesc traseele de audit. Front-end servit prin Amazon CloudFront cu TLS 1.3 aplicat.

Vedere logică a componentelor Energent și a limitelor de încredere

Figura 1. Vedere logică a componentelor Energent și a limitelor de încredere.

2.2 Principii Securizate prin Design

  1. Cel mai mic privilegiu & micro-segmentare. Rolurile IAM și grupurile de securitate restricționează fiecare serviciu la permisiunile minime necesare.
  2. Criptare end-to-end. TLS 1.2+ pentru date în tranzit; AES-256-GCM pentru date în repaus folosind chei gestionate de KMS.
  3. Infrastructură imutabilă. Toate nodurile de calcul sunt reconstruite din AMI-uri semnate; fără modificări în loc.
  4. Automatizare continuă a conformității. Guardrails codificate în IaC și reguli AWS Config pentru a detecta derapajele.

3 Modelul de Amenințare

3.1 Active

  • Credite de utilizator și token-uri API
  • Artefacte de flux de lucru (capturi de ecran, date extrase, documente generate)
  • Logică de flux de lucru proprietară

3.2 Adversari & Capacități

AdversarCapacitate
Atacator externScanare de rețea, phishing, malware, umplere de acreditive
Insider malițiosAcces privilegiat la consolă/API
Dependență terță compromisăAtac de lanț de aprovizionare, backdoor software

3.3 Limite de Încredere

  • Izolarea chiriașilor între stivele clienților.
  • Separarea între control plane și data plane.
  • Sandbox în VM vs. mediu gazdă.

4 Controalele de Securitate

4.1 Identitate, Autentificare & Autorizare

  • SSO prin SAML 2.0 / OIDC cu aplicarea MFA.
  • Politici IAM ABAC fine-grained pentru toate microserviciile.
  • Acces privilegiat just-in-time (JIT) cu auto-expirare.

4.2 Securitate de Rețea & Infrastructură

  • Gateway-uri de ieșire doar la nivel de VPC; fără balansoare de încărcare publice în modul cloud privat.
  • Tot traficul API este terminat la AWS ALB cu WAF WebACL (set de reguli OWASP Top 10).
  • Conectivitate privată opt-in prin AWS PrivateLink sau VPN de client.

4.3 Protecția Datelor

  • Criptare pe server (SSE-KMS) pentru S3; SDK de criptare pe client disponibil.
  • Criptare la nivel de câmp pentru PII/PHI folosind AES-256 + chei de tip envelope.
  • Rotire automată a cheilor și CMK-uri per chiriaș.

4.4 Securitatea Aplicației

  • Standardele de codare securizată (OWASP ASVS L2).
  • Pipeline-uri automate SCA, SAST și DAST integrate în CI/CD.
  • Blocări de dependențe cu semnături verificate PyPI/npm.

4.5 Gestionarea Secretelor & Cheilor

  • Secretele sunt stocate în AWS Secrets Manager cu rotație automată.
  • Agenții trag token-uri de sesiune cu timp limitat prin STS AssumeRole, niciodată chei pe termen lung.

4.6 Ciclu de Viață al Dezvoltării Securizate

  • Modelare a amenințărilor pentru fiecare epic (metodologia STRIDE).
  • Revizuirile de cod necesită aprobat de două persoane și trecerea prin porțile de securitate.
  • Construiri reproducibile cu proveniență Sigstore.

5 Conformitate & Guvernanță

5.1 Modelul de Responsabilitate Comună

Energent adoptă abordarea de responsabilitate comună a AWS, unde AWS securizează cloud-ul de bază „al cloud-ului,” iar Energent securizează totul „în cloud.”

5.2 Certificări de Audit (În Progres 2025)

CadruStatutDomeniu
SOC 2 Tip IIÎn Audit (ETA Q4 2025)Energent Cloud (regiunile US & EU)
ISO/IEC 27001:2022PlanificatImplementări enterprise & cloud privat
GDPR & CCPAImplementatPortal de drepturi ale subiecților de date & DPA

5.3 Maparea Controalelor

Anexa A oferă o mapare detaliată a controalelor Energent la familiile NIST SP 800-53 Rev 5 (AC, AU, SC, SI etc.).

6 Securitate Operațională

6.1 Monitorizare, Detectare & Răspuns

  • Agregare centralizată a jurnalele în Amazon OpenSearch cu backup-uri S3 imutabile.
  • GuardDuty, Inspector și Security Hub permit detectarea continuă a amenințărilor.
  • Echipa de Răspuns la Incidente de Securitate (SIRT) disponibilă 24/7 cu manuale documentate.

6.2 Gestionarea Vulnerabilităților & Pen-Test

  • Scanări săptămânale ale imaginilor container; CVE critice corectate în termen de 24 de ore.
  • Teste de penetrare anuale de terță parte și teste comandate de clienți permise.

6.3 Continuitatea Afacerii & Recuperarea în Caz de Dezastru

  • Toate datele persistente sunt stocate în S3 multi-AZ, versionate, cu replicare între regiuni.
  • RPO ≤ 15 minute, RTO ≤ 1 oră pentru servicii critice.

7 Opțiuni de Implementare pentru Clienți

7.1 Energent Cloud (SaaS)

  • Opțiunea implicită; integrare rapidă; moștenește securitatea infrastructurii globale AWS.

7.2 Cloud Privat / VPC-Isolat

  • Stiva Energent desfășurată de Terraform în contul AWS al clientului, cu control asupra rezidenței datelor.

7.3 On-Prem / VM-Only

  • Imagine de VM capabilă offline; atestare hardware root-of-trust suportată prin TPM/SGX.

8 Concluzie

Energent.ai combină ingineria defense-in-depth, procese operaționale riguroase și conformitate transparentă pentru a proteja datele clienților la fiecare nivel. Prin respectarea cadrelor de lucru de vârf din industrie, cum ar fi AWS Well-Architected și NIST SP 800-53, livrăm o platformă care permite automatizarea sigură și scalabilă fără a compromite încrederea utilizatorului.

Anexa A – Maparea Controalelor (Extras)

Familie NIST 800-53Control IDImplementarea Energent
Controlul AccesuluiAC-2SSO + MFA + aprovizionare SCIM
Audit & ResponsabilitateAU-6Jurnale imutabile, S3 + CloudTrail rezistent la manipulare
Protecția Sistemelor & ComunicațiilorSC-13Criptare end-to-end, TLS 1.3 aplicat
Integritatea SistemuluiSI-2Patching automatizat prin AWS SSM

Matricea completă disponibilă la cerere.

Referințe

  1. AWS Well-Architected Framework – Security Pillar, 6 nov 2024
  2. NIST SP 800-53 Rev 5, “Controalele de Securitate și Confidențialitate pentru Sisteme de Informații și Organizații,” sept 202
  3. CambioML & Epsilla, “Obținerea unei acurateți de 2× în Recuperarea Cunoștințelor din Grafice și Tabele,” 2 aug 2024

Hai să vorbim!

Birou:

Biroul din Abu Dhabi:

Turnul Al Khatem, Insula Al Maryah, Abu Dhabi

Biroul din Silicon Valley:

3101 Park Blvd. Palo Alto, CA