Perspektif layanan keuangan: Keamanan, privasi, dan kepatuhan

Dokumen dalam Google Cloud Framework Arsitektur: Perspektif layanan keuangan (FS) ini memberikan ringkasan prinsip dan rekomendasi untuk mengatasi persyaratan keamanan, privasi, dan kepatuhan beban kerja layanan keuangan (FS) di Google Cloud. Rekomendasi ini membantu Anda membangun infrastruktur yang tangguh dan sesuai, melindungi data sensitif, mempertahankan kepercayaan pelanggan, memahami lanskap kompleks persyaratan peraturan, dan mengelola ancaman siber secara efektif. Rekomendasi dalam dokumen ini selaras dengan pilar keamanan Framework Arsitektur.

Keamanan dalam komputasi cloud adalah masalah penting bagi organisasi FS, yang sangat menarik bagi penjahat siber karena banyaknya data sensitif yang mereka kelola, termasuk detail pelanggan dan catatan keuangan. Konsekuensi dari pelanggaran keamanan sangat parah, termasuk kerugian finansial yang signifikan, kerusakan reputasi jangka panjang, dan denda peraturan yang signifikan. Oleh karena itu, beban kerja FS memerlukan kontrol keamanan yang ketat.

Untuk membantu memastikan keamanan dan kepatuhan yang komprehensif, Anda harus memahami tanggung jawab bersama antara Anda (organisasi FS) dan Google Cloud. Google Cloud bertanggung jawab untuk mengamankan infrastruktur yang mendasarinya, termasuk keamanan fisik dan keamanan jaringan. Anda bertanggung jawab untuk mengamankan data dan aplikasi, mengonfigurasi kontrol akses, serta mengonfigurasi dan mengelola layanan keamanan. Untuk mendukung upaya keamanan Anda, the Google Cloud ekosistem partner menawarkan integrasi keamanan dan layanan terkelola.

Rekomendasi keamanan dalam dokumen ini dipetakan ke prinsip inti berikut:

• Menerapkan keamanan dari desain
• Menerapkan zero trust
• Menerapkan keamanan shift-left
• Menerapkan pertahanan siber preemptif
• Menggunakan AI secara aman dan bertanggung jawab, serta menggunakan AI untuk keamanan
• Memenuhi kebutuhan peraturan, kepatuhan, dan privasi
• Memprioritaskan inisiatif keamanan

Menerapkan keamanan dari desain

Peraturan keuangan seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), the Gramm-Leach-Bliley Act (GLBA) di Amerika Serikat, dan berbagai undang-undang perlindungan data keuangan nasional mewajibkan keamanan diintegrasikan ke dalam sistem sejak awal. Prinsip keamanan dari desain menekankan integrasi keamanan di seluruh siklus proses pengembangan untuk membantu memastikan kerentanan diminimalkan sejak awal.

Untuk menerapkan prinsip keamanan dari desain untuk beban kerja FS Anda di Google Cloud, pertimbangkan rekomendasi berikut:

• Pastikan hanya izin yang diperlukan yang diberikan dengan menerapkan prinsip hak istimewa terendah melalui kontrol akses berbasis peran (RBAC) terperinci di Identity and Access Management (IAM). Penggunaan RBAC adalah persyaratan utama dalam banyak peraturan keuangan.
• Terapkan perimeter keamanan di sekitar layanan dan data sensitif Anda di dalam Google Cloud dengan menggunakan Kontrol Layanan VPC. Perimeter keamanan membantu mensegmentasi dan melindungi data serta resource sensitif, dan membantu mencegah pemindahan data yang tidak sah dan akses yang tidak sah, sebagaimana diwajibkan oleh peraturan.
• Tentukan konfigurasi keamanan sebagai kode dengan menggunakan alat infrastruktur sebagai kode (IaC) seperti Terraform. Pendekatan ini menyematkan kontrol keamanan dari fase deployment awal, yang membantu memastikan konsistensi dan auditabilitas.
• Pindai kode aplikasi Anda dengan mengintegrasikan Pengujian Keamanan Aplikasi Statis (SAST) ke dalam pipeline CI/CD dengan Cloud Build. Tetapkan gerbang keamanan otomatis untuk mencegah deployment kode yang tidak sesuai.
• Sediakan antarmuka terpadu untuk insight keamanan dengan menggunakan Security Command Center. Penggunaan Security Command Center memungkinkan pemantauan berkelanjutan dan deteksi dini kesalahan konfigurasi atau ancaman yang dapat menyebabkan pelanggaran peraturan. Untuk memenuhi persyaratan standar seperti ISO 27001 dan NIST 800-53, Anda dapat menggunakan template pengelolaan postur.
• Lacak pengurangan kerentanan yang diidentifikasi dalam deployment produksi dan persentase deployment IaC yang mematuhi praktik terbaik keamanan. Anda dapat mendeteksi dan melihat kerentanan serta informasi tentang kepatuhan terhadap standar keamanan dengan menggunakan Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan.

Menerapkan zero trust

Peraturan keuangan modern semakin menekankan perlunya kontrol akses yang ketat dan verifikasi berkelanjutan. Persyaratan ini mencerminkan prinsip zero trust, yang bertujuan untuk melindungi beban kerja dari ancaman internal dan eksternal serta pelaku kejahatan. Prinsip zero trust menganjurkan verifikasi berkelanjutan setiap pengguna dan perangkat, yang menghilangkan kepercayaan implisit dan mengurangi pergerakan lateral.

Untuk menerapkan zero trust, pertimbangkan rekomendasi berikut:

• Aktifkan akses kontekstual berdasarkan identitas pengguna, keamanan perangkat, lokasi, dan faktor lainnya dengan menggabungkan IAM kontrol dengan Chrome Enterprise Premium. Pendekatan ini memastikan verifikasi berkelanjutan sebelum akses ke data dan sistem keuangan diberikan.
• Sediakan pengelolaan identitas dan akses yang aman dan skalabel dengan mengonfigurasi Identity Platform (atau penyedia identitas eksternal Anda jika Anda menggunakan Workforce Identity Federation). Siapkan autentikasi multi-faktor (MFA) dan kontrol lainnya yang penting untuk menerapkan zero trust dan membantu memastikan kepatuhan terhadap peraturan.
• Terapkan MFA untuk semua akun pengguna, terutama untuk akun yang memiliki akses ke data atau sistem sensitif.
• Dukung audit dan investigasi terkait kepatuhan terhadap peraturan dengan menetapkan pencatatan log dan pemantauan komprehensif terhadap akses pengguna dan aktivitas jaringan.
• Aktifkan komunikasi pribadi dan aman antar-layanan dalam Google Cloud lingkungan dan lokal tanpa mengekspos traffic ke internet publik dengan menggunakan Private Service Connect.
• Terapkan kontrol identitas terperinci dan berikan otorisasi akses di tingkat aplikasi dengan menggunakan Identity-Aware Proxy (IAP) bukan mengandalkan mekanisme keamanan berbasis jaringan seperti tunnel VPN. Pendekatan ini membantu mengurangi pergerakan lateral dalam lingkungan.

Menerapkan keamanan shift-left

Badan pengatur keuangan mendorong langkah-langkah keamanan proaktif. Mengidentifikasi dan mengatasi kerentanan pada awal siklus proses pengembangan membantu mengurangi risiko insiden keamanan dan potensi penalti ketidakpatuhan. Prinsip keamanan shift-left mendorong pengujian dan integrasi keamanan awal, yang membantu mengurangi biaya dan kompleksitas remediasi.

Untuk menerapkan keamanan shift-left, pertimbangkan rekomendasi berikut:

• Pastikan pemeriksaan keamanan otomatis pada awal proses pengembangan dengan mengintegrasikan alat pemindaian keamanan, seperti pemindaian kerentanan container dan analisis kode statis, ke dalam pipeline CI/CD dengan Cloud Build.

• Pastikan hanya artefak yang aman yang di-deploy dengan menggunakan Artifact Registry untuk menyediakan repositori yang aman dan terpusat untuk paket software dan image container dengan pemindaian kerentanan terintegrasi. Gunakan repositori virtual untuk mengurangi serangan kebingungan dependensi dengan memprioritaskan artefak pribadi Anda daripada repositori jarak jauh.

• Pindai aplikasi web secara otomatis untuk mencari kerentanan umum dengan mengintegrasikan Web Security Scanner, yang merupakan bagian dari Security Command Center, ke dalam pipeline pengembangan Anda.

• Terapkan pemeriksaan keamanan untuk kode sumber, proses build, dan asal kode dengan menggunakan framework Supply-chain Levels for Software Artifacts (SLSA). Terapkan asal beban kerja yang berjalan di lingkungan Anda dengan menggunakan solusi seperti Otorisasi Biner. Pastikan beban kerja Anda hanya menggunakan library software open source yang terverifikasi dengan menggunakan Assured Open Source.

• Lacak jumlah kerentanan yang diidentifikasi dan diperbaiki dalam siklus proses pengembangan Anda, persentase deployment kode yang lulus pemindaian keamanan, dan pengurangan insiden keamanan yang disebabkan oleh kerentanan software. Google Cloud menyediakan alat untuk membantu pelacakan ini untuk berbagai jenis beban kerja. Misalnya, untuk beban kerja dalam container, gunakan fitur pemindaian container Artifact Registry.

Menerapkan pertahanan siber preemptif

Institusi keuangan adalah target utama serangan siber canggih. Peraturan sering kali memerlukan threat intelligence yang kuat dan mekanisme pertahanan proaktif. Pertahanan siber preemptif berfokus pada deteksi dan respons ancaman proaktif dengan menggunakan analisis dan otomatisasi tingkat lanjut.

Pertimbangkan rekomendasi berikut:

• Identifikasi dan mitigasi potensi ancaman secara proaktif, dengan menggunakan layanan threat intelligence, respons insiden, dan validasi keamanan Mandiant.
• Lindungi aplikasi web dan API dari eksploitasi web dan serangan DDoS di edge jaringan dengan menggunakan Google Cloud Armor.
• Agregasi dan prioritaskan temuan dan rekomendasi keamanan dengan menggunakan Security Command Center, yang memungkinkan tim keamanan mengatasi potensi risiko secara proaktif.
• Validasi pertahanan preemptif dan rencana respons insiden dengan melakukan simulasi keamanan dan pengujian penetrasi secara rutin.
• Ukur waktu untuk mendeteksi dan merespons insiden keamanan, efektivitas upaya mitigasi DDoS, dan jumlah serangan siber yang dicegah. Anda bisa mendapatkan metrik dan data yang diperlukan dari dasbor SOAR dan SIEM Google Security Operations.

Menggunakan AI secara aman dan bertanggung jawab, serta menggunakan AI untuk keamanan

AI dan ML semakin banyak digunakan untuk kasus penggunaan layanan keuangan seperti deteksi penipuan dan perdagangan algoritmik. Peraturan mengharuskan teknologi ini digunakan secara etis, transparan, dan aman. AI juga dapat membantu meningkatkan kemampuan keamanan Anda. Pertimbangkan rekomendasi berikut untuk menggunakan AI:

• Kembangkan dan deploy model ML di lingkungan yang aman dan dikelola dengan menggunakan Vertex AI. Fitur seperti metrik keadilan dan penjelasan model dapat membantu mengatasi masalah AI yang bertanggung jawab.
• Manfaatkan kemampuan operasi dan analisis keamanan Google Security Operations, yang menggunakan AI dan ML untuk menganalisis data keamanan dalam jumlah besar, mendeteksi anomali, dan mengotomatiskan respons ancaman. Kemampuan ini membantu meningkatkan postur keamanan Anda secara keseluruhan dan membantu pemantauan kepatuhan.
• Tetapkan kebijakan tata kelola yang jelas untuk pengembangan dan deployment AI dan ML, termasuk pertimbangan terkait keamanan dan etika.
• Selaraskan dengan elemen Secure AI Framework (SAIF), yang memberikan pendekatan praktis untuk mengatasi masalah keamanan dan risiko sistem AI.
• Lacak akurasi dan efektivitas sistem deteksi penipuan berbasis AI, pengurangan positif palsu dalam pemberitahuan keamanan, dan peningkatan efisiensi dari otomatisasi keamanan berbasis AI.

Memenuhi kebutuhan peraturan, kepatuhan, dan privasi

Layanan keuangan tunduk pada berbagai peraturan, termasuk persyaratan residensi data, jejak audit tertentu, dan standar perlindungan data. Untuk memastikan data sensitif diidentifikasi, dilindungi, dan dikelola dengan benar, organisasi FS memerlukan kebijakan tata kelola data yang kuat dan skema klasifikasi data. Pertimbangkan rekomendasi berikut untuk membantu Anda memenuhi persyaratan peraturan:

• Siapkan batas data in Google Cloud untuk beban kerja sensitif dan teregulasi dengan menggunakan Assured Workloads. Dengan melakukannya, Anda dapat memenuhi persyaratan kepatuhan khusus pemerintah dan industri seperti FedRAMP dan CJIS.
• Identifikasi, klasifikasikan, dan lindungi data sensitif, termasuk informasi keuangan, dengan menerapkan Cloud Data Loss Prevention (Cloud DLP). Dengan melakukannya, Anda dapat memenuhi peraturan privasi data seperti GDPR dan CCPA.
• Lacak detail aktivitas administratif dan akses ke resource dengan menggunakan Cloud Audit Logs. Log ini sangat penting untuk memenuhi persyaratan audit yang ditetapkan oleh banyak peraturan keuangan.
• Saat Anda memilih Google Cloud region untuk beban kerja dan data, pertimbangkan peraturan lokal yang terkait dengan residensi data. Google Cloud infrastruktur global memungkinkan Anda memilih region yang dapat membantu Anda memenuhi persyaratan residensi data.
• Kelola kunci yang digunakan untuk mengenkripsi data keuangan sensitif saat tidak aktif dan dalam transit dengan menggunakan Cloud Key Management Service. Enkripsi tersebut adalah persyaratan mendasar dari banyak peraturan keamanan dan privasi.
• Terapkan kontrol yang diperlukan untuk mengatasi persyaratan peraturan Anda. Pastikan kontrol berfungsi seperti yang diharapkan. Minta kontrol divalidasi lagi oleh auditor eksternal untuk membuktikan kepada badan pengatur bahwa beban kerja Anda mematuhi peraturan.

Memprioritaskan inisiatif keamanan

Mengingat luasnya persyaratan keamanan, institusi keuangan harus memprioritaskan inisiatif yang didasarkan pada penilaian risiko dan mandat peraturan. Sebaiknya gunakan pendekatan bertahap berikut:

1. Tetapkan fondasi keamanan yang kuat: Fokus pada area inti keamanan, termasuk pengelolaan identitas dan akses, keamanan jaringan, dan perlindungan data. Fokus ini membantu membangun postur keamanan yang kuat dan membantu memastikan pertahanan komprehensif terhadap ancaman yang terus berkembang.
2. Atasi peraturan penting: Prioritaskan kepatuhan terhadap peraturan utama seperti PCI DSS, GDPR, dan undang-undang nasional yang relevan. Dengan melakukannya, Anda dapat memastikan perlindungan data, mengurangi risiko hukum, dan membangun kepercayaan dengan pelanggan.
3. Terapkan keamanan tingkat lanjut: Secara bertahap adopsi praktik keamanan tingkat lanjut seperti zero trust, solusi keamanan berbasis AI, dan perburuan ancaman proaktif.