金融服務業觀點：安全性、隱私權和法規遵循

這份文件位於Google Cloud 架構完善的架構：金融服務業觀點，提供原則和建議的總覽，以解決 Google Cloud中金融服務業 (FSI) 工作負載的安全、隱私權和法規遵循需求。這些建議可協助您建構符合法規的彈性基礎架構、保護機密資料、維護客戶信任、因應複雜的法規要求，以及有效管理網路威脅。本文中的建議與 Well-Architected Framework 的安全性支柱一致。

雲端運算安全是金融服務機構 (FSI) 的重大疑慮，因為這類機構管理大量敏感資料 (包括客戶詳細資料和財務記錄)，因此對網路犯罪者極具吸引力。安全漏洞的後果非常嚴重，包括巨額財務損失、長期信譽受損，以及高額監管罰款。因此，金融服務業工作負載需要嚴格的安全控管機制。

為確保全面安全和法規遵循，您需要瞭解您 (金融服務機構) 與 Google Cloud之間的共同責任。 Google Cloud 負責保護基礎架構，包括實體安全和網路安全。您有責任保護資料和應用程式、設定存取權控管機制，以及設定和管理安全服務。為協助您提升安全性，Google Cloud 合作夥伴生態系統提供安全整合和管理服務。

本文中的安全性建議對應至下列核心原則：

• 採用融入安全考量的設計
• 導入零信任機制
• 導入優先確保安全機制
• 預先防範網路威脅
• 以安全且負責任的方式使用 AI，並運用 AI 強化安全防護
• 滿足法規遵循和隱私權需求
• 優先推動安全計畫

採用融入安全考量的設計

付款卡產業資料安全標準 (PCI DSS)、美國的葛萊姆-里奇-布萊利法案 (GLBA)，以及各國的金融資料保護法等金融法規，都規定系統必須從一開始就整合安全性。「設計即安全」原則強調在整個開發生命週期中整合安全性，從一開始就盡量減少安全漏洞。

如要在Google Cloud中為 FSI 工作負載套用「設計即安全」原則，請參考下列建議：

• 透過 Identity and Access Management (IAM) 中的精細角色型存取權控管 (RBAC)，套用最低權限原則，確保只授予必要權限。許多金融法規都規定必須使用 RBAC。
• 使用 VPC Service Controls，在 Google Cloud 內對機密服務和資料強制執行安全防護範圍。安全防護範圍有助於區隔及保護機密資料和資源，並防止資料外洩和未經授權的存取行為，符合法規要求。
• 使用基礎架構即程式碼 (IaC) 工具 (如 Terraform)，以程式碼形式定義安全性設定。這種做法會在初始部署階段嵌入安全控管措施，有助於確保一致性和可稽核性。
• 整合靜態應用程式安全測試 (SAST)，透過 Cloud Build 掃描 CI/CD 管道中的應用程式碼。建立自動安全閘道，防止部署不符規定的程式碼。
• 使用 Security Command Center 提供安全性深入分析的統一介面。使用 Security Command Center 可持續監控並及早偵測設定錯誤或威脅，避免違反法規。如要符合 ISO 27001 和 NIST 800-53 等標準的規定，可以使用安全狀態管理範本。
• 追蹤正式版部署作業中發現的安全漏洞減少情形，以及符合安全最佳做法的 IaC 部署作業百分比。您可以使用 Security Command Center 偵測及查看安全漏洞，以及有關安全標準法規遵循情形的資訊。詳情請參閱「安全漏洞發現結果」。

導入零信任機制

現代金融法規日益強調嚴格存取控管和持續驗證的重要性。這些要求反映了零信任原則，旨在保護工作負載免受內部和外部威脅及惡意行為者的侵擾。零信任原則主張持續驗證每位使用者和裝置，藉此消除隱含信任，並防範橫向移動。

如要實作零信任，請考慮下列建議：

• 結合 IAM 控制項和 Chrome Enterprise Premium，根據使用者身分、裝置安全性、位置和其他因素啟用情境感知存取權。這個方法可確保系統在授予財務資料和系統的存取權前，會持續進行驗證。
• 設定 Identity Platform (或使用員工身分聯盟時的外部身分提供者)，提供安全且可擴充的身分和存取權管理服務。設定多重驗證 (MFA) 和其他控管措施，這些措施對於實作零信任和確保法規遵循至關重要。
• 為所有使用者帳戶導入 MFA，尤其是可存取機密資料或系統的帳戶。
• 全面記錄及監控使用者存取權和網路活動，支援與法規遵循相關的稽核和調查。
• 使用 Private Service Connect，在Google Cloud 和內部部署環境中啟用服務間的私密安全通訊，不必將流量暴露在公開網際網路上。
• 使用 Identity-Aware Proxy (IAP) 實行精細的身分控管機制，並在應用程式層級授權存取權，而不必依賴 VPN 通道等網路型安全機制。這個方法有助於減少環境內的橫向移動。

導入「優先確保安全」機制

金融監管機構鼓勵採取主動式安全防護措施。在開發生命週期早期識別並解決安全漏洞，有助於降低安全事件風險，以及因不符規定而遭處罰的可能性。「提早測試」的安全性原則提倡早期安全性測試和整合，有助於降低修復成本和複雜度。

如要實作「左移」安全防護，請考慮下列建議：

• 將容器安全漏洞掃描和靜態程式碼分析等安全性掃描工具，整合至 Cloud Build 的 CI/CD pipeline，確保在開發過程初期進行自動安全性檢查。

• 使用 Artifact Registry 提供安全的集中式存放區，儲存軟體套件和容器映像檔，並整合安全漏洞掃描功能，確保只部署安全的構件。使用虛擬存放區，優先處理私人構件而非遠端存放區，藉此防範依附元件混淆攻擊。

• 將 Web Security Scanner (Security Command Center 的一部分) 整合至開發管道，自動掃描網頁應用程式中的常見安全漏洞。

• 使用軟體構件供應鏈級別 (SLSA) 架構，針對原始碼、建構程序和程式碼出處實作安全性檢查。使用二進位授權等解決方案，強制執行環境中執行工作負載的來源。使用 Assured Open Source，確保工作負載只使用經過驗證的開放原始碼軟體程式庫。

• 追蹤開發生命週期中發現及修復的安全漏洞數量、通過安全掃描的程式碼部署百分比，以及因軟體安全漏洞而減少的安全事件。 Google Cloud 提供相關工具，協助追蹤不同類型的工作負載。舉例來說，如果是容器化工作負載，請使用 Artifact Registry 的容器掃描功能。

預先防範網路威脅

金融機構是網路攻擊高手的首要目標。 法規通常要求組織具備強大的威脅情報和主動防禦機制。先發制人的網路防禦做法著重於主動偵測威脅，並運用進階分析和自動化功能做出回應。

請參考下列建議：

• 透過 Mandiant 的威脅情報、事件應變和安全性驗證服務，主動找出並減輕潛在威脅。
• 使用 Google Cloud Armor，在網路邊緣保護網頁應用程式和 API，防範網路漏洞和 DDoS 攻擊。
• 使用 Security Command Center 匯總安全性發現項目和建議，並排定優先順序，讓安全團隊主動解決潛在風險。
• 定期進行安全模擬和滲透測試，驗證預防性防禦措施和事件應變計畫。
• 評估偵測及因應安全事件所需的時間、DDoS 緩解措施的成效，以及防範的網路攻擊次數。您可以從 Google Security Operations SOAR 和 SIEM 資訊主頁取得所需指標和資料。

安全且負責任地使用 AI，並運用 AI 強化安全防護

AI 和機器學習技術越來越常應用於金融服務，例如偵測詐欺和演算法交易。法規要求以合乎道德、公開透明且安全的方式使用這些技術。AI 也能協助提升安全防護能力。使用 AI 時，請參考下列建議：

• 使用 Vertex AI 在安全且受控的環境中開發及部署機器學習模型。模型可解釋性和公平性指標等功能，有助於解決負責任的 AI 相關疑慮。
• 善用 Google Security Operations 的安全分析和營運功能，運用 AI 和機器學習技術分析大量安全資料、偵測異常狀況，並自動應對威脅。這些功能有助於提升整體安全防護機制，並監控法規遵循狀況。
• 為 AI 和機器學習的開發與部署程序制定明確的治理政策，包括安全性和倫理相關考量。
• 遵循安全 AI 架構 (SAIF) 的要素，這個架構提供實用做法，可解決 AI 系統的安全性和風險疑慮。
• 追蹤 AI 輔助詐欺偵測系統的準確度和效力、安全警示誤判次數的減少量，以及 AI 輔助安全自動化帶來的效率提升。

滿足法規遵循和隱私權需求

金融服務須遵守各種法規，包括資料落地要求、特定稽核追蹤記錄和資料保護標準。為確保機密資料獲得妥善識別、保護及管理，金融服務機構需要健全的資料治理政策和資料分類架構。請參考下列建議，確保符合法規規定：

• 在 Google Cloud 中使用 Assured Workloads，為機密和受監管的工作負載設定資料邊界。這樣做有助於您符合政府和產業專屬的法規遵循要求，例如 FedRAMP 和 CJIS。
• 導入 Cloud Data Loss Prevention (Cloud DLP)，識別、分類及保護機密資料，包括財務資訊。這樣做有助於您遵守《一般資料保護規則》(GDPR) 和《加州消費者隱私法》(CCPA) 等資料隱私權法規。
• 使用 Cloud 稽核記錄追蹤管理活動和資源存取權的詳細資料。這些記錄對於滿足許多金融法規規定的稽核要求至關重要。
• 為工作負載和資料選擇Google Cloud 區域時，請考量與資料落地相關的當地法規。 Google Cloud 全球基礎架構可讓您選擇區域，協助您符合資料落地要求。
• 使用 Cloud Key Management Service 管理用於加密靜態和傳輸中機密財務資料的金鑰。許多安全和隱私權法規都規定必須採用這類加密技術。
• 實作必要控管機制，以符合監管規定。確認控管機制是否正常運作。請外部稽核人員再次驗證控制項，向監管機構證明您的工作負載符合法規。

優先推動安全措施

由於安全需求範圍廣泛，金融機構必須根據風險評估和法規授權，優先推動相關措施。建議您採取下列分階段做法：

1. 建立穩固的安全基礎：著重於安全的核心領域，包括身分和存取權管理、網路安全和資料保護。這有助於建立強大的安全防護措施，確保全面防禦不斷演變的威脅。
2. 遵守重要法規：優先遵守 PCI DSS、GDPR 和相關國家/地區法律等重要法規。這麼做有助於確保資料受到保護、降低法律風險，並贏得顧客信任。
3. 導入進階安全防護措施：逐步採用進階安全防護措施，例如零信任、AI 輔助安全防護解決方案，以及主動式威脅搜尋。