Dieses Dokument in der Google Cloud Perspektive „Finanzdienstleistungen“ des Well-Architected Framework bietet einen Überblick über die Prinzipien und Empfehlungen zur Erfüllung der Sicherheits-, Datenschutz- und Complianceanforderungen von Arbeitslasten im Bereich Finanzdienstleistungen in der Google Cloud. Die Empfehlungen helfen Ihnen, eine robuste und konforme Infrastruktur aufzubauen, sensible Daten zu schützen, das Vertrauen der Kunden zu wahren, sich in der komplexen Landschaft der regulatorischen Anforderungen zurechtzufinden und Cyberbedrohungen effektiv zu verwalten. Die Empfehlungen in diesem Dokument stimmen mit der Säule „Sicherheit“ des Well-Architected Framework überein.
Sicherheit im Cloud Computing ist ein wichtiges Anliegen für Finanzdienstleister, die aufgrund der großen Mengen sensibler Daten, die sie verwalten, einschließlich Kundendetails und Finanzunterlagen, für Cyberkriminelle sehr attraktiv sind. Die Folgen eines Sicherheitsverstoßes sind äußerst schwerwiegend, darunter erhebliche finanzielle Verluste, langfristige Reputationsschäden und hohe Geldstrafen. Daher benötigen Arbeitslasten im Bereich Finanzdienstleistungen strenge Sicherheitskontrollen.
Um umfassende Sicherheit und Compliance zu gewährleisten, müssen Sie die gemeinsame Verantwortung zwischen Ihnen (Finanzdienstleistern) und Google Cloudverstehen. Google Cloud ist für die Sicherheit der zugrunde liegenden Infrastruktur verantwortlich, einschließlich der physischen Sicherheit und der Netzwerksicherheit. Sie sind für die Sicherheit von Daten und Anwendungen, die Konfiguration der Zugriffssteuerung sowie die Konfiguration und Verwaltung von Sicherheitsdiensten verantwortlich. Um Sie bei Ihren Sicherheitsbemühungen zu unterstützen, bietet das Google Cloud Partnernetzwerk Sicherheitsintegrationen und verwaltete Dienste.
Die Sicherheitsempfehlungen in diesem Dokument sind den folgenden Kernprinzipien zugeordnet:
- Sicherheit von Grund auf implementieren
- Zero Trust implementieren
- Shift-Left-Sicherheit implementieren
- Cyber Defense präventiv implementieren
- KI sicher und verantwortungsvoll nutzen und KI für die Sicherheit einsetzen
- Behörden-, Compliance- und Datenschutzanforderungen erfüllen
- Sicherheitsinitiativen priorisieren
Sicherheit von Grund auf implementieren
Finanzvorschriften wie der Payment Card Industry Data Security Standard (PCI DSS), der Gramm-Leach-Bliley Act (GLBA) in den USA und verschiedene nationale Gesetze zum Schutz von Finanzdaten schreiben vor, dass Sicherheit von Anfang an in Systeme integriert wird. Das Prinzip „Security by Design“ betont die Integration von Sicherheit während des gesamten Entwicklungszyklus, um sicherzustellen, dass Sicherheitslücken von Anfang an minimiert werden.
Wenn Sie das Prinzip „Security by Design“ für Ihre Arbeitslasten im Bereich Finanzdienstleistungen in Google Cloudanwenden möchten, beachten Sie die folgenden Empfehlungen:
- Gewähren Sie nur die erforderlichen Berechtigungen, indem Sie das Prinzip der geringsten Berechtigung durch eine detaillierte rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Identity and Access Management (IAM)anwenden. Die Verwendung von RBAC ist in vielen Finanzvorschriften eine wichtige Anforderung.
- Erzwingen Sie Sicherheitsbereiche um Ihre sensiblen Dienste und Daten in der Google Cloud mithilfe von VPC Service Controls. Die Sicherheitsbereiche helfen, sensible Daten und Ressourcen zu segmentieren und zu schützen sowie Daten-Exfiltration und unbefugten Zugriff zu verhindern, wie es die Vorschriften erfordern.
- Definieren Sie Sicherheitskonfigurationen als Code, indem Sie Infrastructure as Code (IaC)-Tools wie Terraform verwenden. Bei diesem Ansatz werden Sicherheitskontrollen von der ersten Bereitstellungsphase an eingebettet, was zur Konsistenz und Prüfbarkeit beiträgt.
- Scannen Sie Ihren Anwendungscode, indem Sie Static Application Security Testing (SAST) mit Cloud Build in die CI/CD-Pipeline einbinden. Richten Sie automatisierte Sicherheitsschranken ein, um die Bereitstellung von nicht konformem Code zu verhindern.
- Stellen Sie mit Security Command Center eine einheitliche Oberfläche für Sicherheitsinformationen bereit. Die Verwendung von Security Command Center ermöglicht eine kontinuierliche Überwachung und die frühzeitige Erkennung von Fehlkonfigurationen oder Bedrohungen, die zu Verstößen gegen Vorschriften führen könnten. Um die Anforderungen von Standards wie ISO 27001 und NIST 800-53, zu erfüllen, können Sie Vorlagen für das Sicherheitsstatusmanagement verwenden.
- Verfolgen Sie die Reduzierung der Sicherheitslücken, die in Produktionsbereitstellungen identifiziert werden, und den Prozentsatz der IaC-Bereitstellungen, die den Best Practices für die Sicherheit entsprechen. Mit Security Command Center können Sie Sicherheitslücken und Informationen zur Einhaltung von Sicherheitsstandards erkennen und ansehen. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken.
Zero Trust implementieren
In modernen Finanzvorschriften wird zunehmend die Notwendigkeit strenger Zugriffssteuerungen und kontinuierlicher Überprüfung betont. Diese Anforderungen spiegeln das Prinzip von Zero Trust wider, das darauf abzielt, Arbeitslasten vor internen und externen Bedrohungen und böswilligen Akteuren zu schützen. Das Zero-Trust-Prinzip befürwortet die kontinuierliche Überprüfung jedes Nutzers und Geräts, wodurch implizites Vertrauen beseitigt und die laterale Bewegungeingeschränkt wird.
Beachten Sie die folgenden Empfehlungen, um Zero Trust zu implementieren:
- Aktivieren Sie den kontextsensitiven Zugriff basierend auf Nutzeridentität, Gerätesicherheit, Standort und anderen Faktoren, indem Sie IAM Kontrollen mit Chrome Enterprise Premium kombinieren. Dieser Ansatz sorgt für eine kontinuierliche Überprüfung, bevor der Zugriff auf Finanzdaten und ‑systeme gewährt wird.
- Konfigurieren Sie Identity Platform (oder Ihren externen Identitätsanbieter, wenn Sie Workforce Identity Federation verwenden), um eine sichere und skalierbare Identitäts- und Zugriffsverwaltung bereitzustellen. Richten Sie die Multi-Faktor-Authentifizierung (MFA) und andere Kontrollen ein, die für die Implementierung von Zero Trust und die Einhaltung regulatorischer Anforderungen unerlässlich sind.
- Implementieren Sie MFA für alle Nutzerkonten, insbesondere für Konten mit Zugriff auf sensible Daten oder Systeme.
- Unterstützen Sie Audits und Untersuchungen im Zusammenhang mit der Einhaltung von Vorschriften, indem Sie eine umfassende Protokollierung und Überwachung des Nutzerzugriffs und der Netzwerkaktivität einrichten.
- Aktivieren Sie die private und sichere Kommunikation zwischen Diensten in Google Cloud und lokalen Umgebungen, ohne den Traffic dem öffentlichen Internet auszusetzen, indem Sie Private Service Connectverwenden.
- Implementieren Sie detaillierte Identitätskontrollen und autorisieren Sie den Zugriff auf Anwendungsebene mit Identity-Aware Proxy (IAP) anstatt sich auf netzwerkbasierte Sicherheitsmechanismen wie VPN-Tunnel zu verlassen. Dieser Ansatz trägt dazu bei, die laterale Bewegung in der Umgebung zu reduzieren.
Shift-Left-Sicherheit implementieren
Finanzaufsichtsbehörden fördern proaktive Sicherheitsmaßnahmen. Wenn Sie Sicherheitslücken frühzeitig im Entwicklungszyklus erkennen und beheben, können Sie das Risiko von Sicherheitsvorfällen und potenziellen Strafen für die Nichteinhaltung von Vorschriften verringern. Das Prinzip der Shift-Left-Sicherheit fördert frühzeitige Sicherheitstests und ‑integrationen, was dazu beiträgt, die Kosten und Komplexität der Behebung zu reduzieren.
Beachten Sie die folgenden Empfehlungen, um Shift-Left-Sicherheit zu implementieren:
Sorgen Sie für automatisierte Sicherheitsprüfungen früh im Entwicklungsprozess, indem Sie Sicherheitsscanning-Tools wie das Scannen auf Container-Sicherheitslücken und die statische Codeanalyse mit Cloud Buildin die CI/CD-Pipeline einbinden.
Sorgen Sie dafür, dass nur sichere Artefakte bereitgestellt werden, indem Sie Artifact Registry verwenden, um ein sicheres und zentrales Repository für Softwarepakete und Container-Images mit integriertem Scannen auf Sicherheitslücken bereitzustellen. Verwenden Sie virtuelle Repositories, um Angriffe durch Verwechslung von Abhängigkeiten zu verhindern, indem Sie Ihre privaten Artefakte gegenüber Remote-Repositories priorisieren.
Scannen Sie Webanwendungen automatisch auf häufige Sicherheitslücken, indem Sie Web Security Scanner, der Teil von Security Command Center, ist, in Ihre Entwicklungspipelines einbinden.
Implementieren Sie Sicherheitsprüfungen für den Quellcode, den Build-Prozess und die Code herkunft mithilfe des Frameworks Supply Chain Levels for Software Artifacts (SLSA). Erzwingen Sie die Herkunft der Arbeitslasten, die in Ihren Umgebungen ausgeführt werden, mithilfe von Lösungen wie der Binärautorisierung. Sorgen Sie dafür, dass Ihre Arbeitslasten nur geprüfte Open-Source-Softwarebibliotheken verwenden indem Sie Assured Open Source verwenden.
Verfolgen Sie die Anzahl der Sicherheitslücken, die im Entwicklungszyklus erkannt und behoben werden , den Prozentsatz der Codebereitstellungen, die Sicherheitsscans bestehen , und die Reduzierung von Sicherheitsvorfällen, die durch Softwaresicherheitslücken verursacht werden. Google Cloud bietet Tools, die bei dieser Nachverfolgung für verschiedene Arten von Arbeitslasten helfen. Verwenden Sie für containerisierte Arbeitslasten beispielsweise die Container-Scanning-Funktion von Artifact Registry.
Präventive Cyberabwehr implementieren
Finanzinstitute sind Hauptziele für ausgeklügelte Cyberangriffe. Vorschriften erfordern oft robuste Threat Intelligence und proaktive Abwehrmechanismen. Die präventive Cyberabwehr konzentriert sich auf die proaktive Erkennung und Abwehr von Bedrohungen mithilfe erweiterter Analysen und Automatisierung.
Beachten Sie die folgenden Empfehlungen:
- Potenzielle Bedrohungen proaktiv erkennen und mindern, indem Sie die Threat Intelligence, Incident Response, und Security Validation Dienste von Mandiant verwenden.
- Schützen Sie Webanwendungen und APIs mit Google Cloud Armor am Netzwerkrand vor Web-Exploits und DDoS-Angriffen.
- Aggregieren und priorisieren Sie Sicherheitsergebnisse und ‑empfehlungen mit Security Command Center, damit Sicherheitsteams potenzielle Risiken proaktiv angehen können.
- Validieren Sie präventive Abwehrmaßnahmen und Incident Response-Pläne, indem Sie regelmäßig Sicherheitssimulationen und Penetrationstests durchführen.
- Messen Sie die Zeit, die für die Erkennung und Reaktion auf Sicherheitsvorfälle benötigt wird, die Effektivität der Maßnahmen zur DDoS-Abwehr und die Anzahl der verhinderten Cyberangriffe. Die erforderlichen Messwerte und Daten erhalten Sie über die SOAR- und SIEM-Dashboards von Google Security Operations.
KI sicher und verantwortungsvoll nutzen und KI für die Sicherheit einsetzen
KI und ML werden zunehmend für Anwendungsfälle im Bereich Finanzdienstleistungen wie Betrugserkennung und algorithmischer Handel eingesetzt. Vorschriften schreiben vor, dass diese Technologien ethisch, transparent und sicher eingesetzt werden. KI kann auch dazu beitragen, Ihre Sicherheitsfunktionen zu verbessern. Beachten Sie die folgenden Empfehlungen zur Verwendung von KI:
- Entwickeln und stellen Sie ML-Modelle in einer sicheren und verwalteten Umgebung mit der Gemini Enterprise Agent Platform bereit. Funktionen wie die Erklärbarkeit von Modellen und Fairness-Messwerte können dazu beitragen, Bedenken im Hinblick auf verantwortungsvolle KI auszuräumen.
- Nutzen Sie die Sicherheitsanalyse- und ‑betriebsfunktionen von Google Security Operations, die KI und ML verwenden, um große Mengen an Sicherheitsdaten zu analysieren, Anomalien zu erkennen und die Reaktion auf Bedrohungen zu automatisieren. Diese Funktionen tragen dazu bei, Ihren allgemeinen Sicherheitsstatus zu verbessern und die Complianceüberwachung zu unterstützen.
- Legen Sie klare Governance-Richtlinien für die Entwicklung und Bereitstellung von KI und ML fest, einschließlich Sicherheits- und ethischer Aspekte.
- Richten Sie sich nach den Elementen des Secure AI Framework (SAIF), das einen praktischen Ansatz zur Bewältigung der Sicherheits- und Risikobedenken von KI-Systemen bietet.
- Verfolgen Sie die Genauigkeit und Effektivität von KI-gestützten Betrugserkennungssystemen, die Reduzierung von Fehlalarmen bei Sicherheitswarnungen und die Effizienzsteigerungen durch KI-gestützte Sicherheitsautomatisierung.
Behörden-, Compliance- und Datenschutzanforderungen erfüllen
Finanzdienstleistungen unterliegen einer Vielzahl von Vorschriften, darunter Anforderungen an den Datenstandort, spezifische Audit-Trails und Datenschutzstandards. Um sicherzustellen, dass sensible Daten ordnungsgemäß identifiziert, geschützt und verwaltet werden, benötigen Finanzdienstleister robuste Data-Governance-Richtlinien und Datenklassifizierungsschemas. Beachten Sie die folgenden Empfehlungen, um die behördlichen Anforderungen zu erfüllen:
- Richten Sie Datenbereiche in Google Cloud für sensible und regulierte Arbeitslasten mit Assured Workloads ein. So können Sie behördliche und branchenspezifische Compliance anforderungen wie FedRAMP und CJIS erfüllen.
- Identifizieren, klassifizieren und schützen Sie sensible Daten, einschließlich finanzieller Informationen, indem Sie Cloud Data Loss Prevention (Cloud DLP)implementieren. So können Sie Datenschutzbestimmungen wie die DSGVO und den CCPA einhalten.
- Verfolgen Sie Details zu administrativen Aktivitäten und den Zugriff auf Ressourcen mit Cloud-Audit-Logs. Diese Logs sind entscheidend, um die Audit-Anforderungen zu erfüllen, die in vielen Finanzvorschriften festgelegt sind.
- Wenn Sie Google Cloud Regionen für Ihre Arbeitslasten und Daten auswählen, berücksichtigen Sie die lokalen Vorschriften zum Datenstandort. Google Cloud Mit der globalen Infrastruktur können Sie Regionen auswählen, die Ihnen helfen, Ihre Anforderungen an den Datenstandort zu erfüllen.
- Verwalten Sie die Schlüssel, die zum Verschlüsseln sensibler Finanzdaten im Ruhezustand und bei der Übertragung verwendet werden, mit dem Cloud Key Management Service. Eine solche Verschlüsselung ist eine grundlegende Anforderung vieler Sicherheits- und Datenschutzvorschriften.
- Implementieren Sie die Kontrollen, die erforderlich sind, um Ihre behördlichen Anforderungen zu erfüllen. Prüfen Sie, ob die Kontrollen wie erwartet funktionieren. Lassen Sie die Kontrollen noch einmal von einem externen Auditor validieren, um der Aufsichtsbehörde nachzuweisen, dass Ihre Arbeitslasten den Vorschriften entsprechen.
Sicherheitsinitiativen priorisieren
Angesichts der Vielzahl von Sicherheitsanforderungen müssen Finanzinstitute Initiativen priorisieren, die auf Risikobewertungen und behördlichen Vorgaben basieren. Wir empfehlen den folgenden schrittweisen Ansatz:
- Eine solide Sicherheitsgrundlage schaffen: Konzentrieren Sie sich auf die Kernbereiche der Sicherheit, einschließlich Identitäts- und Zugriffsverwaltung, Netzwerksicherheit und Datenschutz. Dieser Fokus trägt dazu bei, einen robusten Sicherheitsstatus aufzubauen und einen umfassenden Schutz vor sich entwickelnden Bedrohungen zu gewährleisten.
- Wichtige Vorschriften berücksichtigen: Priorisieren Sie die Einhaltung wichtiger Vorschriften wie PCI DSS, DSGVO und relevanter nationaler Gesetze. So können Sie den Datenschutz gewährleisten, rechtliche Risiken mindern und das Vertrauen der Kunden stärken.
- Erweiterte Sicherheit implementieren: Führen Sie schrittweise erweiterte Sicherheitspraktiken wie Zero Trust, KI-gestützte Sicherheitssysteme und proaktive Bedrohungssuche ein.