Finanzdienstleistungen: Sicherheit, Datenschutz und Compliance

Dieses Dokument in der Google Cloud Well-Architected Framework-Perspektive für Finanzdienstleister bietet einen Überblick über die Prinzipien und Empfehlungen zur Erfüllung der Sicherheits-, Datenschutz- und Complianceanforderungen von Arbeitslasten für Finanzdienstleister in der Google Cloud. Die Empfehlungen helfen Ihnen, eine robuste und konforme Infrastruktur aufzubauen, sensible Daten zu schützen, das Vertrauen der Kunden zu wahren, sich in der komplexen Landschaft der regulatorischen Anforderungen zurechtzufinden und Cyberbedrohungen effektiv zu verwalten. Die Empfehlungen in diesem Dokument stimmen mit der Säule „Sicherheit“ des Well-Architected Framework überein.

Sicherheit im Cloud Computing ist ein wichtiges Anliegen für Finanzdienstleister, die aufgrund der großen Mengen an sensiblen Daten, die sie verwalten, einschließlich Kundendetails und Finanzunterlagen, für Cyberkriminelle sehr attraktiv sind. Die Folgen einer Sicherheitsverletzung sind äußerst schwerwiegend, darunter erhebliche finanzielle Verluste, langfristige Reputationsschäden und hohe Geldstrafen. Daher benötigen Arbeitslasten für Finanzdienstleister strenge Sicherheitskontrollen.

Um umfassende Sicherheit und Compliance zu gewährleisten, müssen Sie die gemeinsame Verantwortung zwischen Ihnen (Finanzdienstleistern) und Google Cloudverstehen. Google Cloud ist für die Sicherheit der zugrunde liegenden Infrastruktur verantwortlich, einschließlich der physischen Sicherheit und der Netzwerksicherheit. Sie sind für die Sicherheit von Daten und Anwendungen, die Konfiguration der Zugriffssteuerung sowie die Konfiguration und Verwaltung von Sicherheitsdiensten verantwortlich. Um Sie bei Ihren Sicherheitsbemühungen zu unterstützen, bietet das Google Cloud Partnernetzwerk Sicherheitsintegration und verwaltete Dienste.

Die Sicherheitsempfehlungen in diesem Dokument sind den folgenden Kernprinzipien zugeordnet:

• Sicherheit von Grund auf implementieren
• Zero-Trust-Sicherheit implementieren
• Shift-Left-Sicherheit implementieren
• Präventive Cyberabwehr implementieren
• KI sicher und verantwortungsvoll nutzen und KI für die Sicherheit einsetzen
• Behörden-, Compliance- und Datenschutzanforderungen erfüllen
• Sicherheitsinitiativen priorisieren

Sicherheit von Grund auf implementieren

Finanzvorschriften wie der Payment Card Industry Data Security Standard (PCI DSS), der Gramm-Leach-Bliley Act (GLBA) in den USA und verschiedene nationale Gesetze zum Schutz von Finanzdaten schreiben vor, dass Sicherheit von Anfang an in Systeme integriert wird. Das Prinzip „Security by Design“ betont die Integration von Sicherheit während des gesamten Entwicklungszyklus, um sicherzustellen, dass Sicherheitslücken von Anfang an minimiert werden.

Wenn Sie das Prinzip „Security by Design“ für Ihre Arbeitslasten für Finanzdienstleister in der Google Cloudanwenden möchten, beachten Sie die folgenden Empfehlungen:

• Gewähren Sie nur die erforderlichen Berechtigungen, indem Sie das Prinzip der geringsten Berechtigung durch eine detaillierte rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Identity and Access Management (IAM)anwenden. Die Verwendung von RBAC ist in vielen Finanzvorschriften eine wichtige Anforderung.
• Erzwingen Sie Sicherheitsbereiche für Ihre sensiblen Dienste und Daten in der Google Cloud mithilfe von VPC Service Controls. Die Sicherheitsbereiche helfen, sensible Daten und Ressourcen zu segmentieren und zu schützen sowie Daten-Exfiltration und unbefugten Zugriff zu verhindern, wie es die Vorschriften erfordern.
• Definieren Sie Sicherheitskonfigurationen als Code mithilfe von Infrastructure as Code -Tools (IaC) wie Terraform. Bei diesem Ansatz werden Sicherheitskontrollen von der ersten Bereitstellungsphase an eingebettet, was zur Konsistenz und Prüfbarkeit beiträgt.
• Scannen Sie Ihren Anwendungscode, indem Sie Static Application Security Testing (SAST) mit Cloud Build in die CI/CD-Pipeline einbinden. Richten Sie automatisierte Sicherheitsschranken ein, um die Bereitstellung von nicht konformem Code zu verhindern.
• Stellen Sie mit Security Command Center eine einheitliche Oberfläche für Sicherheitsinformationen bereit. Die Verwendung von Security Command Center ermöglicht eine kontinuierliche Überwachung und die frühzeitige Erkennung von Fehlkonfigurationen oder Bedrohungen, die zu Verstößen gegen Vorschriften führen könnten. Um die Anforderungen von Standards wie ISO 27001 und NIST 800-53, zu erfüllen, können Sie Vorlagen für das Sicherheitsstatusmanagement verwenden.
• Verfolgen Sie die Reduzierung von Sicherheitslücken, die in Produktionsbereitstellungen identifiziert werden, und den Prozentsatz der IaC-Bereitstellungen, die den Best Practices für die Sicherheit entsprechen. Mit Security Command Center können Sie Sicherheitslücken erkennen und ansehen sowie Informationen zur Einhaltung von Sicherheitsstandards abrufen. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken.

Zero-Trust-Sicherheit implementieren

Moderne Finanzvorschriften betonen zunehmend die Notwendigkeit strenger Zugriffssteuerungen und kontinuierlicher Überprüfung. Diese Anforderungen spiegeln das Prinzip der Zero-Trust-Sicherheit wider, das darauf abzielt, Arbeitslasten vor internen und externen Bedrohungen und böswilligen Akteuren zu schützen. Das Zero-Trust-Prinzip befürwortet die kontinuierliche Überprüfung jedes Nutzers und Geräts, wodurch implizites Vertrauen beseitigt und die laterale Bewegungeingeschränkt wird.

Beachten Sie die folgenden Empfehlungen, um Zero-Trust-Sicherheit zu implementieren:

• Aktivieren Sie den kontextsensitiven Zugriff basierend auf Nutzeridentität, Gerätesicherheit, Standort und anderen Faktoren, indem Sie IAM Kontrollen mit Chrome Enterprise Premium kombinieren. Dieser Ansatz sorgt für eine kontinuierliche Überprüfung, bevor der Zugriff auf Finanzdaten und ‑systeme gewährt wird.
• Konfigurieren Sie Identity Platform (oder Ihren externen Identitätsanbieter, wenn Sie Mitarbeiteridentitätsföderation verwenden), um eine sichere und skalierbare Identitäts- und Zugriffsverwaltung zu ermöglichen. Richten Sie die Multi-Faktor-Authentifizierung (MFA) und andere Kontrollen ein, die für die Implementierung von Zero-Trust-Sicherheit und die Einhaltung regulatorischer Anforderungen unerlässlich sind.
• Implementieren Sie MFA für alle Nutzerkonten, insbesondere für Konten mit Zugriff auf sensible Daten oder Systeme.
• Unterstützen Sie Audits und Untersuchungen im Zusammenhang mit der Einhaltung regulatorischer Anforderungen durch umfassendes Logging und Monitoring des Nutzerzugriffs und der Netzwerkaktivität.
• Aktivieren Sie die private und sichere Kommunikation zwischen Diensten in Google Cloud und lokalen Umgebungen, ohne den Traffic dem öffentlichen Internet auszusetzen, indem Sie Private Service Connectverwenden.
• Implementieren Sie detaillierte Identitätskontrollen und autorisieren Sie den Zugriff auf Anwendungsebene mithilfe von Identity-Aware Proxy (IAP) anstatt sich auf netzwerkbasierte Sicherheitsmechanismen wie VPN-Tunnel zu verlassen. Dieser Ansatz trägt dazu bei, die laterale Bewegung in der Umgebung zu reduzieren.

Shift-Left-Sicherheit implementieren

Finanzaufsichtsbehörden fördern proaktive Sicherheitsmaßnahmen. Wenn Sie Sicherheitslücken frühzeitig im Entwicklungszyklus erkennen und beheben, können Sie das Risiko von Sicherheitsvorfällen und potenziellen Strafen für die Nichteinhaltung von Vorschriften verringern. Das Prinzip der Shift-Left-Sicherheit fördert frühzeitige Sicherheitstests und ‑integration, was dazu beiträgt, die Kosten und Komplexität der Behebung zu reduzieren.

Beachten Sie die folgenden Empfehlungen, um Shift-Left-Sicherheit zu implementieren:

• Sorgen Sie für automatisierte Sicherheitsprüfungen früh im Entwicklungsprozess, indem Sie Sicherheitsscanning-Tools wie das Scannen auf Container-Sicherheitslücken und die statische Codeanalyse mit Cloud Buildin die CI/CD-Pipeline einbinden.

• Sorgen Sie dafür, dass nur sichere Artefakte bereitgestellt werden, indem Sie Artifact Registry verwenden, um ein sicheres und zentrales Repository für Softwarepakete und Container-Images mit integriertem Scannen auf Sicherheitslücken bereitzustellen. Verwenden Sie virtuelle Repositories, um Angriffe durch Verwechslung von Abhängigkeiten zu verhindern, indem Sie Ihre privaten Artefakte gegenüber Remote-Repositories priorisieren.

• Scannen Sie Webanwendungen automatisch auf häufige Sicherheitslücken, indem Sie Web Security Scanner, der Teil von Security Command Center, ist, in Ihre Entwicklungspipelines einbinden.

• Implementieren Sie Sicherheitsprüfungen für den Quellcode, den Build-Prozess und die Code herkunft mithilfe des Frameworks Supply Chain Levels for Software Artifacts (SLSA). Erzwingen Sie die Herkunft der Arbeitslasten, die in Ihren Umgebungen ausgeführt werden, mithilfe von Lösungen wie der Binärautorisierung. Sorgen Sie dafür, dass Ihre Arbeitslasten nur geprüfte Open-Source-Softwarebibliotheken verwenden indem Sie Assured Open Source verwenden.

• Verfolgen Sie die Anzahl der Sicherheitslücken, die in Ihrem Entwicklungszyklus erkannt und behoben werden , den Prozentsatz der Codebereitstellungen, die Sicherheitsscans bestehen , und die Reduzierung von Sicherheitsvorfällen, die durch Softwaresicherheitslücken verursacht werden. Google Cloud bietet Tools, die bei dieser Nachverfolgung für verschiedene Arten von Arbeitslasten helfen. Verwenden Sie für containerisierte Arbeitslasten beispielsweise die Funktion zum Scannen von Containern in Artifact Registry.

Präventive Cyberabwehr implementieren

Finanzinstitute sind Hauptziele für ausgeklügelte Cyberangriffe. Vorschriften erfordern oft robuste Threat Intelligence und proaktive Abwehrmechanismen. Die präventive Cyber Defense konzentriert sich auf die proaktive Erkennung und Reaktion auf Bedrohungen mithilfe erweiterter Analysen und Automatisierung.

Beachten Sie die folgenden Empfehlungen:

• Identifizieren und mindern Sie potenzielle Bedrohungen proaktiv mithilfe der Threat Intelligence, Incident-Response, und Sicherheitsvalidierungsdials von Mandiant.
• Schützen Sie Webanwendungen und APIs mit Google Cloud Armor am Netzwerkrand vor Web-Exploits und DDoS-Angriffen.
• Aggregieren und priorisieren Sie Sicherheitsergebnisse und ‑empfehlungen mit Security Command Center, damit Sicherheitsteams potenzielle Risiken proaktiv angehen können.
• Validieren Sie präventive Abwehrmaßnahmen und Incident Response-Pläne durch regelmäßige Sicherheitssimulationen und Penetrationstests.
• Messen Sie die Zeit, die zum Erkennen und Reagieren auf Sicherheitsvorfälle benötigt wird, die Effektivität der Maßnahmen zur DDoS-Abwehr und die Anzahl der verhinderten Cyberangriffe. Die erforderlichen Messwerte und Daten finden Sie in den Google Security Operations SOAR- und SIEM-Dashboards.

KI sicher und verantwortungsvoll nutzen und KI für die Sicherheit einsetzen

KI und ML werden zunehmend für Anwendungsfälle im Finanzdienstleistungsbereich wie Betrugserkennung und algorithmischer Handel eingesetzt. Vorschriften schreiben vor, dass diese Technologien ethisch, transparent und sicher eingesetzt werden müssen. KI kann auch dazu beitragen, Ihre Sicherheitsfunktionen zu verbessern. Beachten Sie die folgenden Empfehlungen zur Verwendung von KI:

• Entwickeln und stellen Sie ML-Modelle in einer sicheren und verwalteten Umgebung mit Vertex AI bereit. Funktionen wie die Erklärbarkeit von Modellen und Fairness-Messwerte können dazu beitragen, Bedenken im Hinblick auf verantwortungsvolle KI auszuräumen.
• Nutzen Sie die Sicherheitsanalyse- und ‑betriebsfunktionen von Google Security Operations, die KI und ML verwenden, um große Mengen an Sicherheitsdaten zu analysieren, Anomalien zu erkennen und die Reaktion auf Bedrohungen zu automatisieren. Diese Funktionen tragen dazu bei, Ihren allgemeinen Sicherheitsstatus zu verbessern und die Complianceüberwachung zu erleichtern.
• Legen Sie klare Governance-Richtlinien für die Entwicklung und Bereitstellung von KI und ML fest, einschließlich Sicherheits- und ethischer Aspekte.
• Richten Sie sich nach den Elementen des Secure AI Framework (SAIF), das einen praktischen Ansatz zur Bewältigung der Sicherheits- und Risikobedenken von KI-Systemen bietet.
• Verfolgen Sie die Genauigkeit und Effektivität von KI-gestützten Betrugserkennungssystemen, die Reduzierung von Fehlalarmen bei Sicherheitswarnungen und die Effizienzsteigerungen durch KI-gestützte Sicherheitsautomatisierung.

Behörden-, Compliance- und Datenschutzanforderungen erfüllen

Finanzdienstleister unterliegen einer Vielzahl von Vorschriften, darunter Anforderungen an den Datenstandort, spezifische Audit-Trails und Datenschutzstandards. Um sicherzustellen, dass sensible Daten ordnungsgemäß identifiziert, geschützt und verwaltet werden, benötigen Finanzdienstleister robuste Data-Governance-Richtlinien und Datenklassifizierungsschemas. Beachten Sie die folgenden Empfehlungen, um die behördlichen Anforderungen zu erfüllen:

• Richten Sie Datenbereiche in Google Cloud für sensible und regulierte Arbeitslasten mithilfe von Assured Workloads ein. So können Sie behördliche und branchenspezifische Compliance anforderungen wie FedRAMP und CJIS erfüllen.
• Identifizieren, klassifizieren und schützen Sie sensible Daten, einschließlich finanzieller Informationen, indem Sie Cloud Data Loss Prevention (Cloud DLP)implementieren. So können Sie Datenschutzbestimmungen wie die DSGVO und den CCPA erfüllen.
• Verfolgen Sie Details zu administrativen Aktivitäten und den Zugriff auf Ressourcen by using Cloud Audit Logs. Diese Protokolle sind entscheidend, um die Audit-Anforderungen zu erfüllen, die in vielen Finanzvorschriften festgelegt sind.
• Wenn Sie Google Cloud Regionen für Ihre Arbeitslasten und Daten auswählen, berücksichtigen Sie die lokalen Vorschriften zum Datenstandort. Google Cloud Mit der globalen Infrastruktur von können Sie Regionen auswählen, die Ihnen helfen, Ihre Anforderungen an den Datenstandort zu erfüllen.
• Verwalten Sie die Schlüssel, die zum Verschlüsseln sensibler Finanzdaten im Ruhezustand und bei der Übertragung verwendet werden, mit dem Cloud Key Management Service. Eine solche Verschlüsselung ist eine grundlegende Anforderung vieler Sicherheits- und Datenschutzvorschriften.
• Implementieren Sie die Kontrollen, die erforderlich sind, um Ihre behördlichen Anforderungen zu erfüllen. Prüfen Sie, ob die Kontrollen wie erwartet funktionieren. Lassen Sie die Kontrollen noch einmal von einem externen Auditor validieren, um der Aufsichtsbehörde nachzuweisen, dass Ihre Arbeitslasten den Vorschriften entsprechen.

Sicherheitsinitiativen priorisieren

Angesichts der Vielzahl von Sicherheitsanforderungen müssen Finanzinstitute Initiativen priorisieren, die auf Risikobewertungen und behördlichen Vorgaben basieren. Wir empfehlen den folgenden schrittweisen Ansatz:

1. Eine solide Sicherheitsgrundlage schaffen: Konzentrieren Sie sich auf die Kernbereiche der Sicherheit, einschließlich Identitäts- und Zugriffsverwaltung, Netzwerksicherheit und Datenschutz. Dieser Fokus trägt dazu bei, einen robusten Sicherheitsstatus aufzubauen und einen umfassenden Schutz vor sich entwickelnden Bedrohungen zu gewährleisten.
2. Wichtige Vorschriften erfüllen: Priorisieren Sie die Einhaltung wichtiger Vorschriften wie PCI DSS, DSGVO und relevanter nationaler Gesetze. So können Sie den Datenschutz gewährleisten, rechtliche Risiken mindern und das Vertrauen der Kunden stärken.
3. Erweiterte Sicherheit implementieren: Führen Sie nach und nach erweiterte Sicherheitspraktiken wie Zero-Trust-Sicherheit, KI-gestützte Sicherheitslösungen und proaktive Bedrohungssuche ein.