セキュリティの専門家が、中世の警備員が城壁に囲まれた都市を守るのとほぼ同じ方法で IT を保護したのはそれほど昔のことではありません。 しかし、誰かが境界を越えると、寛大なアクセスが可能になりました
内に含まれる富に。 金融部門では、これはクレジット カード番号、名前、社会保障情報などの「市場性のあるデータ セット」を含む個人を特定できる情報 (PII) へのアクセスを意味します。 悲しいことに、多くのケースがあります
城が襲撃され、エンドユーザーが後退していた場所。 今でも一番有名なのは
エクイファックス事件、小さな侵害が何年にもわたる不幸な顧客につながった.
それ以来、クラウドでホストされているプラットフォームで、あらゆる場所、あらゆるデバイスからネットワークやアプリケーションにアクセスするユーザーが増えるにつれて、考え方が変わりました。従来のポイント ツー ポイント セキュリティは時代遅れです。 境界が変わったので、それに頼る
すべてを守る結界も変わった。
ゼロトラストは、サイバーセキュリティの新しいパラダイムを提示します。 ゼロトラスト環境では、境界が破られたと見なされ、信頼できるユーザーはおらず、物理的またはネットワーク上の場所だけが原因でユーザーやデバイスが信頼されることはありません。 すべてのユーザー、
デバイスと接続は、継続的に検証および監査する必要があります。
言うまでもありませんが、金融サービス業界が日常的に扱う膨大な量の機密データと厳格な規制を考えると、これはさらに大きな優先事項である必要があります。 知覚される価値
このデータはまた、金融サービス組織をデータ侵害の主な標的にしています。
ゼロトラスト環境を構築するために考えなければならないことは次のとおりです。
データの保護
バンキング アプリやオンライン サービスへのアクセスを確保することは不可欠ですが、ゼロ トラスト環境を作成する上で重要な部分となるのは、実際にはこれらのアプリケーションのバックエンドであるデータベースです。 データベースには、組織の機密情報が非常に多く含まれています。
機密情報ではないかもしれないが、組織の運営を維持するために重要なデータだけでなく、規制されている情報も含まれます。 これが、データベースの準備が整っており、ゼロトラスト環境で機能できることが不可欠である理由です。
より多くのデータベースがクラウドベースのサービスになるにつれて、これの大きな部分は、データベースがデフォルトで安全であることを保証することです. これにより、管理者の手からセキュリティの責任の一部が取り除かれます。
ユーザーや管理者の注意を必要とせずに、最高レベルのセキュリティが最初から設定されています。 アクセスを許可するには、ユーザーと管理者が積極的に変更を加える必要があります。自動的に許可されるものは何もありません。
より多くの金融機関がクラウドを採用するにつれて、これはより複雑になる可能性があります。 セキュリティの責任は、クライアント自身の組織、クラウド プロバイダー、および使用されているクラウド サービスのベンダーの間で分割されます。 これは、
責任共有モデル。 これは、IT 部門がサーバーとセキュリティの強化を担当し、その上でソフトウェア (データベース ソフトウェアのバージョンなど) を強化する必要があり、実際のアプリケーション コードを強化する必要がある従来のモデルとは異なります。
このモデルでは、ハードウェア (CPU、ネットワーク、ストレージ) は、これらのシステムをプロビジョニングするクラウド プロバイダーの領域にのみ存在します。 次に、Data-as-a-Service モデルのサービス プロバイダーは、指定されたエンドポイントを使用して、強化されたデータベースをクライアントに配信します。
そうして初めて、実際のクライアント チームとそのアプリケーション開発者、および DevOps チームが実際の「ソリューション」に関与します。
クラウドのセキュリティと回復力は、全員が自分の役割と責任を明確にしている場合にのみ可能になります。 共同責任は、クラウド ベンダーが自社製品がデフォルトで安全でありながら、引き続き利用可能であることを保証することを認識していますが、
組織は、クラウドに保持するデータを引き続き保護するために適切な措置を講じます。
顧客とユーザーの認証
銀行や金融機関では、資金へのアクセスが可能な限り安全であることを確認するために、常に顧客認証に重点が置かれています。 ただし、相手側のデータベースへのアクセスが安全であることを確認することも重要です。 IT組織
任意の数の方法を使用して、ユーザーがデータベースに対して自分自身を認証できるようにすることができます。 ほとんどの場合、これにはユーザー名とパスワードが含まれますが、金融サービス組織による顧客の機密情報のプライバシーを維持する必要性が高まっていることを考えると、
これは基本レイヤーとしてのみ表示する必要があります。
データベース レイヤーでは、トランスポート レイヤー セキュリティと、クライアントからデータベースへのトラフィックを転送中に認証および暗号化できるようにする SCRAM 認証が重要です。
パスワードレス認証も考慮する必要があります。これは、顧客だけでなく、社内チームに対しても同様です。 これは、データベースを使用して複数の方法で実行できます。データベースへのアクセスに必要な自動生成された証明書または
すでに X.509 証明書を使用しており、証明書管理インフラストラクチャを備えている組織向けの高度なオプション。
ロギングと監査
高度に規制された業界として、ゼロトラスト環境を監視して、それが引き続き有効であり、データベースを除外していることを確認することも重要です. データベースは、すべてのアクションをログに記録できるか、フィルターを適用してキャプチャする機能を備えている必要があります。
特定のイベント、ユーザー、または役割のみ。
ロールベースの監査では、個々の管理者ごとにアクティビティを抽出するのではなく、各ユーザーが継承したロールと組み合わせて、userAdmin や dbAdmin などの特定のロールごとにアクティビティを記録およびレポートできます。 このアプローチにより、
組織がエンドツーエンドの運用管理を実施し、コンプライアンスとレポートに必要な洞察を維持するために。
Encryption
貴重なデータが大量にあるため、金融機関は、転送中、保存中、さらには使用中にも暗号化を採用していることを確認する必要があります。 クライアント側のフィールド レベルの暗号化でデータを保護することで、管理されたサービスに移行できます。
より自信を持ってクラウド。 データベースは暗号化されたフィールドでのみ機能し、組織はデータベース プロバイダーに管理させるのではなく、独自の暗号化キーを制御します。 この追加のセキュリティ層により、さらにきめ細かい分離が実施されます。
データベースを使用する人とそれを管理および管理する人の間の義務。
また、より多くのデータが送信され、クラウドに保存されるにつれて (その一部は非常に機密性の高いワークロードです)、機密データや規制対象データへのアクセスを制御および制限するための追加の技術オプションが必要になります。 ただし、このデータは引き続き使用する必要があります。
そのため、使用中のデータ暗号化がゼロトラスト ソリューションの一部であることを確認することが不可欠です。 これにより、組織は機密データを自信を持って保存し、コンプライアンス要件を満たしながら、ビジネスのさまざまな部分がアクセスしてアクセスできるようになります。
そこからの洞察。
データのセキュリティがますます重要になっている世界では、金融サービス組織は、データが悪用されて最も多くを失う企業の XNUMX つです。 境界の考え方を捨て、ゼロ トラストに移行する – 特に
より多くのクラウドおよびサービスとしての製品がインフラストラクチャに組み込まれています。これが、このような貴重な資産を真に保護する唯一の方法です。
