Ce document de la Google Cloud perspective "Services financiers" du Well-Architected Framework présente les principes et recommandations permettant de répondre aux exigences de sécurité, de confidentialité et de conformité des charges de travail de services financiers dans Google Cloud. Les recommandations vous aident à créer une infrastructure résiliente et conforme, à protéger les données sensibles, à maintenir la confiance des clients, à vous orienter dans le paysage complexe des exigences réglementaires et à gérer efficacement les cybermenaces. Les recommandations de ce document sont conformes au pilier de sécurité du Well-Architected Framework.
La sécurité dans le cloud est une préoccupation essentielle pour les établissements de services financiers, qui sont très attractifs pour les cybercriminels en raison des grandes quantités de données sensibles qu'ils gèrent, y compris les informations sur les clients et les enregistrements financiers. Les conséquences d'une brèche de sécurité sont extrêmement graves, y compris des pertes financières importantes, des dommages à la réputation à long terme et des amendes réglementaires importantes. Par conséquent, les charges de travail des établissements de services financiers nécessitent des contrôles de sécurité stricts.
Pour garantir une sécurité et une conformité complètes, vous devez comprendre les responsabilités partagées entre vous (établissements de services financiers) et Google Cloud. Google Cloud est responsable de la sécurisation de l'infrastructure sous-jacente, y compris la sécurité physique et la sécurité réseau. Vous êtes responsable de la sécurisation des données et des applications, de la configuration du contrôle des accès, ainsi que de la configuration et de la gestion des services de sécurité. Pour vous aider dans vos efforts de sécurité, l' Google Cloud écosystème de partenaires propose des services gérés et d'intégration de la sécurité.
Les recommandations de sécurité de ce document sont associées aux principes de base suivants :
- Implémentation de la conception sécurisée
- Implémentation du modèle zéro confiance
- Implémentation de la sécurité Shift Left
- Implémentation d'une cyberdéfense préemptive
- Utilisation de l'IA de manière sûre et responsable, et utilisation de l'IA pour la sécurité
- Réponse aux exigences réglementaires, de conformité et de confidentialité
- Priorité aux initiatives de sécurité
Implémentation de la conception sécurisée
Les réglementations financières telles que la norme PCI DSS (Payment Card Industry Data Security Standard), le Gramm-Leach-Bliley Act (GLBA) aux États-Unis et diverses lois nationales sur la protection des données financières exigent que la sécurité soit intégrée aux systèmes dès le départ. Le principe de sécurité dès la conception met l'accent sur l'intégration de la sécurité tout au long du cycle de vie du développement pour s'assurer que les failles sont minimisées dès le départ.
Pour appliquer le principe de sécurité dès la conception à vos charges de travail de services financiers dans Google Cloud, tenez compte des recommandations suivantes :
- Assurez-vous que seules les autorisations nécessaires sont accordées en appliquant le principe du moindre privilège via un contrôle des accès basé sur les rôles (RBAC) précis dans Identity and Access Management (IAM). L'utilisation du RBAC est une exigence clé dans de nombreuses réglementations financières.
- Appliquez des périmètres de sécurité autour de vos services et données sensibles dans Google Cloud en utilisant VPC Service Controls. Les périmètres de sécurité permettent de segmenter et de protéger les données et ressources sensibles, et d'empêcher l'exfiltration de données et les accès non autorisés, comme l'exigent les réglementations.
- Définissez les configurations de sécurité en tant que code à l'aide d'outils d'infrastructure as code (IaC) tels que Terraform. Cette approche intègre les contrôles de sécurité dès la phase de déploiement initiale, ce qui permet de garantir la cohérence et l'auditabilité.
- Analysez le code de votre application en intégrant le test de sécurité des applications statiques (SAST) dans le pipeline CI/CD avec Cloud Build. Établissez des portes de sécurité automatisées pour empêcher le déploiement de code non conforme.
- Fournissez une interface unifiée pour les informations de sécurité à l'aide de Security Command Center. L'utilisation de Security Command Center permet une surveillance continue et une détection précoce des erreurs de configuration ou des menaces susceptibles d'entraîner des violations réglementaires. Pour répondre aux exigences de normes telles que ISO 27001 et NIST 800-53, vous pouvez utiliser des modèles de gestion de la posture.
- Suivez la réduction des failles identifiées dans les déploiements en production et le pourcentage de déploiements IaC qui respectent les bonnes pratiques de sécurité. Vous pouvez détecter et afficher les failles, ainsi que des informations sur la conformité aux normes de sécurité à l'aide de Security Command Center. Pour en savoir plus, consultez la page Résultats concernant les failles.
Implémentation du modèle zéro confiance
Les réglementations financières modernes mettent de plus en plus l'accent sur la nécessité de contrôles d'accès stricts et d'une vérification continue. Ces exigences reflètent le principe de zéro confiance, qui vise à protéger les charges de travail contre les menaces internes et externes, ainsi que les acteurs malveillants. Le principe de zéro confiance préconise une vérification continue de chaque utilisateur et appareil, ce qui élimine la confiance implicite et atténue les mouvements latéraux.
Pour implémenter le modèle zéro confiance, tenez compte des recommandations suivantes :
- Activez l'accès contextuel en fonction de l'identité de l'utilisateur, de la sécurité de l'appareil, de l'emplacement et d'autres facteurs en combinant les contrôles IAM avec Chrome Enterprise Premium. Cette approche garantit une vérification continue avant d'accorder l'accès aux données et systèmes financiers.
- Fournissez une gestion des identités et des accès sécurisée et évolutive en configurant Identity Platform (ou votre fournisseur d'identité externe si vous utilisez la fédération des identités des employés). Configurez l'authentification multifacteur (MFA) et d'autres contrôles essentiels pour implémenter le modèle zéro confiance et garantir la conformité réglementaire.
- Implémentez l'authentification multifacteur pour tous les comptes utilisateur, en particulier pour les comptes ayant accès à des données ou systèmes sensibles.
- Facilitez les audits et les enquêtes liés à la conformité réglementaire en établissant une journalisation et une surveillance complètes des accès utilisateur et de l'activité réseau.
- Activez une communication privée et sécurisée entre les services au sein Google Cloud et sur site sans exposer le trafic à l'Internet public à l'aide de Private Service Connect.
- Implémentez des contrôles d'identité précis et autorisez l'accès au niveau de l'application à l'aide d' Identity-Aware Proxy (IAP) au lieu de vous fier à des mécanismes de sécurité basés sur le réseau, tels que les tunnels VPN. Cette approche permet de réduire les mouvements latéraux dans l'environnement.
Implémentation de la sécurité Shift Left
Les organismes de réglementation financière encouragent les mesures de sécurité proactives. L'identification et la résolution des failles en amont du cycle de vie du développement permettent de réduire le risque d'incidents de sécurité et le risque de pénalités pour non-conformité. Le principe de sécurité Shift Left favorise les tests et l'intégration de la sécurité en amont, ce qui permet de réduire le coût et la complexité de la correction.
Pour implémenter la sécurité Shift Left, tenez compte des recommandations suivantes :
Assurez-vous que les vérifications de sécurité automatisées sont effectuées en amont du processus de développement en intégrant des outils d'analyse de sécurité, tels que l'analyse des failles de conteneur et l'analyse statique du code, dans le pipeline CI/CD avec Cloud Build.
Assurez-vous que seuls les artefacts sécurisés sont déployés en utilisant Artifact Registry pour fournir un dépôt sécurisé et centralisé pour les packages logiciels et les images de conteneurs avec analyse des failles intégrée. Utilisez des dépôts virtuels pour atténuer les attaques de confusion de dépendances en donnant la priorité à vos artefacts privés par rapport aux dépôts distants.
Analysez automatiquement les applications Web pour détecter les failles courantes en intégrant Web Security Scanner, qui fait partie de Security Command Center, dans vos pipelines de développement.
Implémentez des vérifications de sécurité pour le code source, le processus de compilation et la provenance du code à l'aide du framework SLSA (Supply-chain Levels for Software Artifacts, ou Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels). Appliquez la provenance des charges de travail qui s'exécutent dans vos environnements à l'aide de solutions telles que l'autorisation binaire. Assurez-vous que vos charges de travail n'utilisent que des bibliothèques de logiciels Open Source vérifiées à l'aide d' Assured Open Source.
Suivez le nombre de failles identifiées et corrigées dans votre cycle de vie de développement, le pourcentage de déploiements de code qui réussissent les analyses de sécurité et la réduction des incidents de sécurité causés par des failles logicielles. Google Cloud fournit des outils pour faciliter ce suivi pour différents types de charges de travail. Par exemple, pour les charges de travail conteneurisées, utilisez la fonctionnalité d'analyse des conteneurs d'Artifact Registry.
Implémentation d'une cyberdéfense préemptive
Les établissements financiers sont des cibles privilégiées pour les cyberattaques sophistiquées. Les réglementations exigent souvent des renseignements sur les menaces robustes et des mécanismes de défense proactifs. La cyberdéfense préemptive se concentre sur la détection et la réponse proactives aux menaces à l'aide d'analyses avancées et de l'automatisation.
Tenez compte des recommandations suivantes :
- Identifiez et atténuez de manière proactive les menaces potentielles à l'aide des services de renseignement sur les menaces, de réponse aux incidents, et de validation de la sécurité de Mandiant.
- Protégez les applications Web et les API contre les exploits Web et les attaques DDoS en périphérie du réseau à l'aide de Google Cloud Armor.
- Regroupez et hiérarchisez les résultats et recommandations de sécurité à l'aide de Security Command Center, ce qui permet aux équipes de sécurité de traiter de manière proactive les risques potentiels.
- Validez les défenses préemptives et les plans de réponse aux incidents en effectuant régulièrement des simulations de sécurité et des tests d'intrusion.
- Mesurez le temps nécessaire pour détecter les incidents de sécurité et y répondre, l'efficacité des efforts d'atténuation des attaques DDoS et le nombre de cyberattaques empêchées. Vous pouvez obtenir les métriques et les données requises à partir de s tableaux de bord Google Security Operations SOAR et SIEM.
Utilisation de l'IA de manière sûre et responsable, et utilisation de l'IA pour la sécurité
L'IA et le ML sont de plus en plus utilisés pour les cas d'utilisation des services financiers, tels que la détection des fraudes et le trading algorithmique. Les réglementations exigent que ces technologies soient utilisées de manière éthique, transparente et sécurisée. L'IA peut également vous aider à améliorer vos capacités de sécurité. Tenez compte des recommandations suivantes pour utiliser l'IA :
- Développez et déployez des modèles de ML dans un environnement sécurisé et contrôlé en utilisant Vertex AI. Des fonctionnalités telles que l'explicabilité des modèles et les métriques d'équité peuvent vous aider à répondre aux préoccupations liées à l'IA responsable.
- Exploitez les capacités d'analyse et d'opérations de sécurité de Google Security Operations, qui utilise l'IA et le ML pour analyser de grands volumes de données de sécurité, détecter les anomalies et automatiser la réponse aux menaces. Ces fonctionnalités vous aident à améliorer votre stratégie de sécurité globale et à faciliter la surveillance de la conformité.
- Établissez des règles de gouvernance claires pour le développement et le déploiement de l'IA et du ML, y compris les considérations liées à la sécurité et à l'éthique.
- Alignez-vous sur les éléments du framework d'IA sécurisé (SAIF, Secure AI Framework), qui fournit une approche pratique pour répondre aux préoccupations liées à la sécurité et aux risques des systèmes d'IA.
- Suivez la précision et l'efficacité des systèmes de détection des fraudes basés sur l'IA, la réduction des faux positifs dans les alertes de sécurité et les gains d'efficacité de l'automatisation de la sécurité basée sur l'IA.
Réponse aux exigences réglementaires, de conformité et de confidentialité
Les services financiers sont soumis à un large éventail de réglementations, y compris les exigences de résidence des données, les pistes d'audit spécifiques et les normes de protection des données. Pour s'assurer que les données sensibles sont correctement identifiées, protégées et gérées, les établissements de services financiers ont besoin de règles de gouvernance des données et de schémas de classification des données robustes. Tenez compte des recommandations suivantes pour vous aider à répondre aux exigences réglementaires :
- Définissez des limites de données dans Google Cloud pour les charges de travail sensibles et réglementées à l'aide d' Assured Workloads. Cela vous permet de répondre aux exigences de conformité spécifiques aux gouvernements et aux secteurs telles que FedRAMP et CJIS.
- Identifiez, classez et protégez les données sensibles, y compris les informations financières , en implémentant Cloud Data Loss Prevention (Cloud DLP). Cela vous permet de respecter les réglementations sur la confidentialité des données, telles que le RGPD et la CCPA.
- Suivez les détails des activités d'administration et l'accès aux ressources en utilisant les journaux d'audit Cloud. Ces journaux sont essentiels pour répondre aux exigences d'audit stipulées par de nombreuses réglementations financières.
- Lorsque vous choisissez Google Cloud des régions pour vos charges de travail et vos données, tenez compte des réglementations locales liées à la résidence des données. Google Cloud L'infrastructure mondiale vous permet de choisir des régions qui peuvent vous aider à répondre à vos exigences de résidence des données.
- Gérez les clés utilisées pour chiffrer les données financières sensibles au repos et en transit à l'aide de Cloud Key Management Service. Ce chiffrement est une exigence fondamentale de nombreuses réglementations sur la sécurité et la confidentialité.
- Implémentez les contrôles nécessaires pour répondre à vos exigences réglementaires. Vérifiez que les contrôles fonctionnent comme prévu. Faites valider à nouveau les contrôles par un auditeur externe pour prouver à l'organisme de réglementation que vos charges de travail sont conformes aux réglementations.
Priorité aux initiatives de sécurité
Compte tenu de l'étendue des exigences de sécurité, les établissements financiers doivent hiérarchiser les initiatives basées sur l'évaluation des risques et les mandats réglementaires. Nous vous recommandons l'approche progressive suivante :
- Établir une base de sécurité solide : concentrez-vous sur les domaines clés de la sécurité, y compris la gestion des identités et des accès, la sécurité réseau et la protection des données. Cette approche permet de renforcer la stratégie de sécurité et de garantir une défense complète contre les menaces en constante évolution.
- Répondre aux réglementations critiques : donnez la priorité à la conformité avec les réglementations clés telles que la norme PCI DSS, le RGPD et les lois nationales pertinentes. Cela permet de garantir la protection des données, d'atténuer les risques juridiques et de renforcer la confiance des clients.
- Implémenter une sécurité avancée : adoptez progressivement des pratiques de sécurité avancées telles que le modèle zéro confiance, les solutions de sécurité basées sur l'IA et la traque proactive des menaces.