FSI 视角：安全性、隐私权和合规性

Google Cloud Well-Architected Framework：金融服务行业视角中的本文档概述了相关原则和建议，可帮助您满足 Google Cloud中金融服务行业 (FSI) 工作负载的安全性、隐私权和合规性要求。这些建议可帮助您构建弹性且合规的基础设施、保护敏感数据、维护客户信任、应对复杂的法规要求环境，并有效管理网络威胁。本文档中的建议与架构完善框架的安全性支柱保持一致。

对于 FSI 组织而言，云计算中的安全性是一个至关重要的问题。由于这些组织管理着大量敏感数据（包括客户详细信息和财务记录），因此对网络犯罪分子极具吸引力。安全漏洞的后果非常严重，包括巨额财务损失、长期声誉损害和巨额监管罚款。因此，FSI 工作负载需要严格的安全控制措施。

为确保全面的安全性和合规性，您需要了解您（金融服务机构）与 Google Cloud之间的共同责任。 Google Cloud 负责保护底层基础架构，包括物理安全和网络安全。您负责保护数据和应用的安全、配置访问权限控制，以及配置和管理安全服务。为了支持您在安全方面所做的努力，Google Cloud 合作伙伴生态系统提供安全集成和托管服务。

本文档中的安全建议与以下核心原则相对应：

• 从设计上保证安全
• 实现零信任
• 实现提前确保安全性
• 构建预防性网络防御体系
• 以安全、负责任的方式使用 AI，并利用 AI 强化安全防护
• 满足监管、合规性和隐私权需求
• 确定安全计划的优先顺序

从设计上保证安全

支付卡行业数据安全标准 (PCI DSS)、美国《格拉斯-利奇-布莱利法案》(GLBA) 等金融法规以及各种国家/地区金融数据保护法都要求从一开始就将安全性集成到系统中。“安全设计”原则强调在整个开发生命周期中集成安全性，以帮助确保从一开始就尽可能减少漏洞。

如需在Google Cloud中为 FSI 工作负载应用“安全至上”原则，请考虑以下建议：

• 通过在 Identity and Access Management (IAM) 中采用精细的基于角色的访问权限控制 (RBAC)，确保仅授予必要的权限，从而应用最小权限原则。 在许多金融法规中，使用 RBAC 是一项关键要求。
• 使用 VPC Service Controls 在 Google Cloud 内为敏感服务和数据强制执行安全边界。安全边界有助于根据法规要求，对敏感数据和资源进行细分和保护，并有助于防止数据渗漏和未经授权的访问。
• 使用Terraform 等基础架构即代码 (IaC) 工具将安全配置定义为代码。此方法从初始部署阶段就嵌入了安全控制措施，有助于确保一致性和可审核性。
• 通过将静态应用安全性测试 (SAST) 与 Cloud Build 集成到 CI/CD 流水线中，扫描应用代码。 建立自动化安全门禁，以防止部署不合规的代码。
• 使用 Security Command Center 提供一个统一的界面来执行安全性数据分析。使用 Security Command Center 可持续监控并及早检测可能导致违规的配置错误或威胁。为满足 ISO 27001 和 NIST 800-53 等标准的要求，您可以使用姿态管理模板。
• 跟踪生产部署中发现的漏洞数量的减少情况，以及遵循安全最佳实践的 IaC 部署所占的百分比。您可以使用 Security Command Center 检测并查看漏洞以及有关安全标准合规性的信息。 如需了解详情，请参阅漏洞发现结果。

实现零信任

现代金融法规越来越强调需要实施严格的访问控制和持续验证。这些要求体现了零信任原则，旨在保护工作负载免遭内部和外部威胁以及恶意行为者的侵害。零信任原则主张对每个用户和设备进行持续验证，从而消除隐式信任并缓解横向移动。

如需实施零信任，请考虑以下建议：

• 通过将 IAM 控制与 Chrome Enterprise 进阶版相结合，根据用户身份、设备安全状况、位置和其他因素启用情境感知访问权限。此方法可确保在授予对财务数据和系统的访问权限之前进行持续验证。
• 通过配置 Identity Platform（如果您使用员工身份联合，则为您的外部身份提供方）来提供安全且可伸缩的身份和访问权限管理。设置多重身份验证 (MFA) 和其他对于实现零信任至关重要的控制措施，并有助于确保符合法规要求。
• 为所有用户账号（尤其是可访问敏感数据或系统的账号）实现 MFA。
• 通过全面记录和监控用户访问权限和网络活动，支持与法规遵从相关的审核和调查。
• 使用 Private Service Connect，可在Google Cloud 和本地环境中的服务之间实现私密安全通信，而无需将流量暴露到公共互联网。
• 使用 Identity-Aware Proxy (IAP) 而不是依赖于基于网络的安全性机制（如 VPN 隧道）来实现精细的身份控制，并在应用级授权访问权限。这种方法有助于减少环境中的横向移动。

实现提前确保安全性

金融监管机构鼓励采取主动安全措施。在开发生命周期中尽早识别并解决漏洞有助于降低发生安全事件的风险，并减少因违规而受到处罚的可能性。“左移”安全原则提倡尽早进行安全测试和集成，这有助于降低补救成本和复杂性。

如需实施左移安全，请考虑以下建议：

• 通过将安全扫描工具（例如容器漏洞扫描和静态代码分析）与 Cloud Build 集成到 CI/CD 流水线中，确保在开发过程的早期阶段进行自动化安全检查。

• 使用 Artifact Registry 为软件包和容器映像提供安全且集中的存储库，并集成漏洞扫描功能，确保仅部署安全的制品。使用虚拟制品库，通过优先考虑私人工件而非远程制品库，来缓解依赖项混淆攻击。

• 通过将 Security Command Center 的一部分 Web Security Scanner 集成到开发流水线中，自动扫描 Web 应用是否存在常见漏洞。

• 使用软件制品的供应链等级 (SLSA) 框架，针对源代码、构建流程和代码来源实施安全检查。使用 Binary Authorization 等解决方案，强制执行在环境中运行的工作负载的出处。 使用 Assured Open Source 确保您的工作负载仅使用经过验证的开源软件库。

• 跟踪开发生命周期中发现和修复的漏洞数量、通过安全扫描的代码部署百分比，以及因软件漏洞导致的安全事件减少情况。 Google Cloud 提供了相关工具，可帮助您跟踪不同类型的工作负载。例如，对于容器化工作负载，请使用 Artifact Registry 的容器扫描功能。

构建预防性网络防御体系

金融机构是复杂网络攻击的主要目标。 法规通常要求采用强大的威胁情报和主动防御机制。先发制人的网络防御侧重于通过高级分析和自动化来主动检测和应对威胁。

请考虑以下建议：

• 利用 Mandiant 的威胁情报、突发事件响应和安全验证服务，主动识别和缓解潜在威胁。
• 使用 Google Cloud Armor 在网络边缘保护 Web 应用和 API 免遭 Web 漏洞利用和 DDoS 攻击。
• 使用 Security Command Center 汇总安全发现结果和建议并确定其优先级，以便安全团队主动应对潜在风险。
• 通过定期进行安全模拟和渗透测试来验证预防性防御措施和突发事件响应计划。
• 衡量检测和响应安全事件所需的时间、DDoS 攻击缓解措施的有效性以及防范的网络攻击次数。您可以从 Google Security Operations SOAR 和 SIEM 信息中心获取所需的指标和数据。

安全且负责任地使用 AI，并利用 AI 强化安全防护

AI 和机器学习越来越多地用于金融服务用例，例如欺诈检测和算法交易。法规要求以合乎道德、透明且安全的方式使用这些技术。AI 还可以帮助您增强安全功能。请考虑以下有关使用 AI 的建议：

• 使用 Vertex AI 在安全且受监管的环境中开发和部署机器学习模型。 模型可解释性和公平性指标等功能有助于解决负责任的 AI 问题。
• 利用 Google Security Operations 的安全分析和运维功能，该产品使用 AI 和机器学习技术来分析大量安全数据、检测异常情况并自动响应威胁。这些功能有助于增强您的整体安全状况，并帮助您监控合规情况。
• 为 AI 和 ML 开发及部署制定明确的治理政策，包括安全和伦理相关注意事项。
• 与安全 AI 框架 (SAIF) 的要素保持一致，该框架提供了一种切实可行的方法来解决 AI 系统的安全和风险问题。
• 跟踪 AI 赋能的欺诈检测系统的准确性和有效性、安全警报中误报的减少情况，以及 AI 驱动的安全自动化带来的效率提升。

满足监管、合规性和隐私权需求

金融服务受各种法规的约束，包括数据驻留要求、特定审核轨迹和数据保护标准。为确保敏感数据得到妥善识别、保护和管理，FSI 组织需要制定完善的数据治理政策和数据分类方案。请考虑以下建议，以帮助您满足监管要求：

• 使用 Assured Workloads 在 Google Cloud 中为敏感工作负载和受监管的工作负载设置数据边界。这样做有助于您满足政府和行业特定的合规性要求，例如 FedRAMP 和 CJIS。
• 通过实施 Cloud Data Loss Prevention (Cloud DLP) 来识别、分类和保护敏感数据，包括财务信息。这样做有助于您遵守 GDPR 和 CCPA 等数据隐私权法规。
• 使用 Cloud Audit Logs 跟踪管理活动和资源访问的详细信息。 这些日志对于满足许多金融法规规定的审核要求至关重要。
• 为工作负载和数据选择Google Cloud 区域时，请考虑与数据驻留相关的当地法规。 Google Cloud 全球基础设施可让您选择有助于满足数据驻留要求的区域。
• 使用 Cloud Key Management Service 管理用于加密静态和传输中的敏感财务数据的密钥。 此类加密是许多安全和隐私权法规的基本要求。
• 实施必要的控制措施，以满足监管要求。验证控件是否按预期运行。让外部审核人员再次验证这些控制措施，以向监管机构证明您的工作负载符合相关法规。

确定安全计划的优先级

鉴于安全要求的广泛性，金融机构必须根据风险评估和监管要求确定计划的优先级。我们建议采用以下分阶段方法：

1. 奠定坚实的安全基础：重点关注安全的核心领域，包括身份和访问权限管理、网络安全和数据保护。这种侧重有助于打造强大的安全态势，并有助于确保全面防御不断演变的威胁。
2. 遵守关键法规：优先遵守 PCI DSS、GDPR 和相关国家/地区法律等关键法规。这样做有助于确保数据保护、降低法律风险，并赢得客户的信任。
3. 实施高级安全措施：逐步采用高级安全实践，例如零信任、AI 驱动的安全解决方案和主动威胁搜寻。