金融服务视角：安全性、隐私权和合规性

Well-Architected Framework：金融服务 (FS) 视角中的本文档概述了在 Google Cloud中满足金融服务 (FS) 工作负载的安全性、隐私权和合规性要求的原则和建议。Google Cloud 这些建议可帮助您构建弹性且合规的基础架构、保护敏感数据、维护客户信任、应对复杂的监管要求形势，并有效管理网络威胁。本文档中的建议与 Well-Architected Framework 的安全核心保持一致。

对于 FS 组织而言，云计算的安全性是一个至关重要的问题，因为这些组织管理着大量敏感数据（包括客户详细信息和财务记录），因此对网络犯罪分子具有很强的吸引力。安全事故的后果非常严重，包括巨额财务损失、长期声誉损害和巨额监管罚款。因此，FS 工作负载需要严格的安全控制措施。

为了帮助确保全面的安全性和合规性，您需要了解您（FS 组织）与 之间的共同责任 。 Google CloudGoogle Cloud 负责保护底层基础架构，包括物理 安全和网络安全。您负责保护数据和应用、配置访问权限控制，以及配置和管理安全服务。为了支持您在安全方面的工作， Google Cloud 合作伙伴生态系统 提供安全集成和代管式服务。

本文档中的安全建议与以下核心原则相对应：

• 践行“设计即安全”理念
• 落地零信任架构
• 实现提前确保安全性
• 构建预防性网络防御体系
• 以安全、负责任的方式使用 AI，并使用 AI 强化安全防护
• 满足监管、合规性和隐私权需求
• 优先考虑安全计划

践行“设计即安全”理念

支付卡行业数据安全标准 (PCI DSS)、美国《格雷姆-里奇-比利雷法案》(GLBA) 以及各种国家/地区的金融数据保护法等金融法规规定，必须从一开始就将安全性集成到系统中。“设计即安全”原则强调在整个开发生命周期中集成安全性，以帮助确保从一开始就最大限度地减少漏洞。

如需在 Google Cloud中为 FS 工作负载应用“设计即安全”原则，请考虑以下建议：

• 通过 Identity and Access Management (IAM)中的精细基于角色的访问权限控制 (RBAC) 应用最小权限原则，确保仅授予必要的权限。 在许多金融法规中，使用 RBAC 是一项关键要求。
• 使用 VPC Service Controls在 中对敏感服务和数据实施安全边界。 Google Cloud 安全边界有助于根据法规要求对敏感数据和资源进行分段和保护，并有助于防止数据渗漏和未经授权的访问。
• 使用基础设施即代码 (IaC) 工具（如 Terraform）将安全配置定义为代码。 这种方法从初始部署阶段开始嵌入安全控制措施，有助于确保一致性和可审核性。
• 通过将 静态应用安全测试 (SAST) 与 Cloud Build集成到 CI/CD 流水线中，扫描应用代码。 建立自动安全门，以防止部署不合规的代码。
• 使用 Security Command Center提供统一的界面来获取安全数据分析。 使用 Security Command Center 可以持续监控并及早检测可能导致违规的错误配置或威胁。如需满足 ISO 27001 和 NIST 800-53 等标准的要求， 您可以使用 安全状况管理 模板。
• 跟踪生产部署中发现的漏洞数量的减少情况，以及符合安全最佳实践的 IaC 部署的百分比。您可以使用 Security Command Center 检测和查看漏洞以及有关符合安全标准的信息。 如需了解详情，请参阅 漏洞发现结果。

落地零信任架构

现代金融法规越来越强调严格的访问权限控制和持续验证的必要性。这些要求反映了零信任原则，该原则旨在保护工作负载免受内部和外部威胁以及恶意行为者的侵害。零信任原则提倡对每个用户和设备进行 持续验证，从而消除隐式 信任并缓解 横向移动。

如需落地零信任架构，请考虑以下建议：

• 将 IAM 控制措施与 Chrome Enterprise Premium 相结合，根据用户身份、设备安全状况、 位置和其他因素启用上下文感知访问权限。这种方法可确保在授予对金融数据和系统的访问权限之前进行持续验证。
• 通过 配置 Identity Platform （如果您使用 员工身份联合，则为外部身份提供方）提供安全且可伸缩的身份和访问权限管理。 设置多重身份验证 (MFA) 和其他对于落地零信任架构至关重要的控制措施，并帮助确保监管合规。
• 为所有用户账号实施 MFA，尤其是对于有权访问敏感数据或系统的账号。
• 通过全面记录和监控用户访问和网络活动，支持与监管合规相关的审核和调查。
• 使用 Google Cloud 和本地环境中的服务之间启用私密且安全的通信，而无需将 流量暴露给公共互联网，方法是使用 Private Service Connect。
• 使用 Identity-Aware Proxy (IAP)而不是依赖于 VPN 隧道等基于网络的安全机制，实施精细的身份控制并在 应用级授权访问权限。这种方法有助于减少环境中的横向移动。

实现提前确保安全性

金融监管机构鼓励采取主动安全措施。在开发生命周期的早期识别和解决漏洞有助于降低安全事件的风险以及不合规处罚的可能性。 “提前确保安全性”原则提倡尽早进行安全测试和集成，这有助于降低修复的成本和复杂性。

如需实现提前确保安全性，请考虑以下建议：

• 通过将容器漏洞扫描和静态代码分析等安全扫描工具与 Cloud Build集成到 CI/CD 流水线中，确保在开发过程的早期进行自动安全检查。

• 使用 Artifact Registry 为软件包和 容器映像提供安全且集中的存储库，并集成漏洞扫描功能，确保仅部署安全制品。通过优先处理私有制品而不是远程存储库，使用虚拟 存储库来缓解 依赖项混淆攻击 。

• 通过将 Web Security Scanner（ Security Command Center的一部分）集成到开发流水线中，自动扫描 Web 应用中的常见漏洞。

• 使用软件制品的供应链等级 (SLSA) 框架对源代码、构建流程和代码 出处实施安全检查。使用 Binary Authorization 等解决方案强制执行在您的 环境中运行的工作负载的出处。 使用Assured Open Source 确保工作负载仅使用经过验证的开源软件库 。

• 跟踪在开发生命周期中识别和修复的漏洞数量 、通过安全扫描的代码部署的百分比 ，以及因软件漏洞而导致的安全事件的减少情况 。 Google Cloud 提供了相关工具，可帮助您针对不同类型的工作负载进行此跟踪 。例如，对于容器化工作负载，请使用 Artifact Registry 的容器扫描功能。

构建预防性网络防御体系

金融机构是复杂网络攻击的主要目标。 法规通常要求提供可靠的威胁情报和主动防御机制。预防性网络防御侧重于使用高级分析和自动化技术主动检测和响应威胁。

请考虑以下建议：

• 使用 Mandiant的 威胁情报、 突发事件响应、 和 安全验证 服务，主动识别和缓解潜在威胁。
• 使用 Google Cloud Armor在网络边缘保护 Web 应用和 API 免受 Web 漏洞利用和 DDoS 攻击。
• 使用 Security Command Center 汇总安全发现结果和建议并确定其优先级，以便安全团队主动应对潜在风险。
• 通过定期进行安全模拟和渗透测试，验证预防性防御措施和突发事件响应计划。
• 衡量检测和响应安全事件的时间、DDoS 攻击缓解工作的有效性以及阻止的网络攻击数量。您可以从 Google Security Operations SOAR 和 SIEM 信息中心获取所需的指标和数据。

以安全、负责任的方式使用 AI，并使用 AI 强化安全防护

AI 和机器学习越来越多地用于金融服务使用场景，例如欺诈检测和算法交易。法规要求以合乎道德、透明且安全的方式使用这些技术。AI 还可以帮助增强您的安全能力。如需使用 AI，请考虑以下建议：

• 使用 Vertex AI在安全且受监管的环境中开发和部署机器学习模型。 模型可解释性和公平性指标等功能有助于解决负责任的 AI 问题。
• 利用 Google Security Operations 的安全分析与运营功能，该功能使用 AI 和机器学习来分析大量安全数据、检测 异常并自动响应威胁。这些功能有助于增强您的整体安全状况并帮助进行合规性监控。
• 为 AI 和机器学习的开发和部署制定明确的治理政策，包括安全和道德相关注意事项。
• 与 安全 AI 框架 (SAIF) 的要素保持一致， 该框架提供了一种实用的方法来解决 AI 系统的安全和风险 问题。
• 跟踪 AI 赋能的欺诈检测系统的准确性和有效性、安全提醒中误报的减少情况，以及 AI 驱动的安全自动化带来的效率提升。

满足监管、合规性和隐私权需求

金融服务受大量法规的约束，包括数据驻留要求、特定审核跟踪和数据保护标准。为了确保正确识别、保护和管理敏感数据，FS 组织需要可靠的数据治理政策和数据分类方案。请考虑以下建议，以帮助您满足监管要求：

• 使用 Assured Workloads 为敏感和受监管的工作负载设置数据边界。 Google Cloud 这样做有助于您满足政府和行业特定的合规 要求，例如 FedRAMP 和 CJIS。
• 通过实施 Cloud Data Loss Prevention (Cloud DLP)来识别、分类和保护敏感数据，包括财务 信息。 这样做有助于您满足 GDPR 和 CCPA 等数据隐私权法规。
• 使用 Cloud Audit Logs 跟踪管理活动和资源访问的详细信息。 这些日志对于满足许多金融法规规定的审核要求至关重要。
• 为工作负载和数据选择 Google Cloud 区域时，请考虑与 数据驻留相关的当地法规。全球基础架构可让您选择 有助于满足数据驻留要求的区域。 Google Cloud
• 使用 Cloud Key Management Service 管理用于加密静态和传输中的敏感财务数据的密钥。此类加密是许多安全和隐私权法规的基本要求。
• 实施满足法规要求所需的控制措施。验证控制措施是否按预期运行。让外部审核人员再次验证控制措施，以向监管机构证明您的工作负载符合法规要求。

优先考虑安全计划

鉴于安全要求的广泛性，金融机构必须优先考虑基于风险评估和监管要求的计划。我们建议采用以下分阶段方法：

1. 奠定坚实的安全基础：专注于 安全的核心领域，包括身份和访问权限管理、网络安全和 数据保护。这种关注有助于构建强大的安全状况，并有助于确保全面防御不断演变的威胁。
2. 满足关键法规要求：优先遵守 PCI DSS、GDPR 和相关国家/地区法律等关键 法规。这样做有助于确保数据保护、降低法律风险并建立客户信任。
3. 实施高级安全措施：逐步采用高级安全 实践，例如零信任、AI 驱动的安全解决方案和主动 威胁搜寻。