如何在金融服务中创建零信任环境(Boris Bialek)PlatoBlockchain 数据智能。垂直搜索。人工智能。

如何在金融服务中创建零信任环境(Boris Bialek)

时间戳:30年2022月5日34:XNUMX AM

不久前,安全专业人员保护他们的 IT 的方式与中世纪守卫保护城墙城市的方式非常相似 - 他们尽可能地让人们难以进入。但一旦有人越过边界,他们就可以自由进入
到其中蕴含的财富。在金融领域,这意味着访问个人身份信息 (PII),其中包括信用卡号、姓名、社会保障信息等的“适销数据集”。可悲的是,还有很多这样的案例
城堡遭到袭击,最终用户处于不利地位。最出名的还是

Equifax 事件,一个小小的违规行为就导致了多年来客户的不满。 

从那时起,随着用户越来越多地从任何地理位置、在任何设备上、在云托管的平台上访问网络和应用程序,思维方式发生了变化——经典的点对点安全性已经过时。周界已经改变,所以依赖它
作为保护一切的屏障也发生了变化。

零信任提出了网络安全的新范例。在零信任环境中,假设边界已被破坏,不存在受信任的用户,并且任何用户或设备都不会仅仅因为其物理或网络位置而获得信任。每个用户,
必须不断验证和审核设备和连接。 

不言而喻,但考虑到金融服务行业每天处理的大量机密客户和客户数据以及严格的法规,这需要成为更重要的优先事项。的感知价值
这些数据还使金融服务组织成为数据泄露的主要目标。 

以下是创建零信任环境时需要考虑的事项。 

保护数据 

虽然确保对银行应用程序和在线服务的访问至关重要,但实际上作为这些应用程序后端的数据库是创建零信任环境的关键部分。该数据库包含组织的大量敏感信息、
受监管的信息以及可能不敏感但对于保持组织运行至关重要的数据。这就是为什么数据库必须准备好并能够在零信任环境中工作的原因。 

随着越来越多的数据库成为基于云的服务,其中很大一部分是确保数据库在默认情况下是安全的,这意味着它开箱即用是安全的。这使得管理员不再承担部分安全责任,因为
最高级别的安全性从一开始就已到位,无需用户或管理员的关注。为了允许访问,用户和管理员必须主动进行更改 - 任何内容都不会自动授予。 

随着越来越多的金融机构采用云,情况可能会变得更加复杂。安全责任由客户自己的组织、云提供商和所使用的云服务供应商划分。这被称为
共同责任模型。这偏离了经典模型,即 IT 负责强化服务器和安全性,然后需要强化顶层软件(例如数据库软件的版本),然后需要强化实际的应用程序代码。
在此模型中,硬件(CPU、网络、存储)完全属于提供这些系统的云提供商的范围。然后,数据即服务模型的服务提供商通过指定端点将强化的数据库交付给客户端。
只有这样,实际的客户团队及其应用程序开发人员和 DevOps 团队才会为实际的“解决方案”发挥作用。 

只有当每个人都清楚自己的角色和责任时,云中的安全性和弹性才可能实现。共同责任认识到云供应商确保其产品在默认情况下是安全的,同时仍然可用,而且
组织采取适当的措施继续保护他们保存在云中的数据。

客户和用户的身份验证 

在银行和金融组织中,始终非常关注客户身份验证,以确保资金获取尽可能安全。但确保对另一端数据库的访问是安全的也很重要。 IT 组织
可以使用任意数量的方法来允许用户向数据库验证自己的身份。大多数情况下,这包括用户名和密码,但考虑到金融服务组织维护机密客户信息隐私的需求不断增加
这应该仅被视为基础层。 

在数据库层,传输层安全性和 SCRAM 身份验证非常重要,这使得从客户端到数据库的流量能够在传输过程中进行身份验证和加密。

无密码身份验证也是应该考虑的事情——不仅对于客户,而且对于内部团队也是如此。这可以通过数据库以多种方式完成,可以是自动生成访问数据库所需的证书,也可以是
适用于已使用 X.509 证书并拥有证书管理基础设施的组织的高级选项。 

记录和审计 

作为一个受到严格监管的行业,监控您的零信任环境以确保它保持有效并排除您的数据库也很重要。数据库应该能够记录所有操作或具有应用过滤器来捕获的功能
仅特定事件、用户或角色。 

基于角色的审核允许您记录和报告特定角色(例如 userAdmin 或 dbAdmin)的活动,以及每个用户继承的任何角色,而不必提取每个管理员的活动。这种方法更容易
帮助组织实施端到端运营控制并保持合规性和报告所需的洞察力。 

加密 

面对大量有价值的数据,金融机构还需要确保它们在传输、静态甚至使用中都采用加密。通过客户端字段级加密保护数据,您可以转向托管服务
云更有信心。数据库仅适用于加密字段,组织控制自己的加密密钥,而不是让数据库提供商管理它们。这个额外的安全层强制执行更细粒度的分离
数据库使用者与管理者之间的职责。 

此外,随着越来越多的数据在云中传输和存储(其中一些是高度敏感的工作负载),需要额外的技术选项来控制和限制对机密和受监管数据的访问。然而,这些数据仍然需要使用。
因此,确保使用中的数据加密成为零信任解决方案的一部分至关重要。这还使组织能够自信地存储敏感数据,满足合规性要求,同时还使业务的不同部分能够获得访问和
从中得到的见解。 

在数据安全变得越来越重要的世界中,金融服务组织是因数据落入坏人之手而遭受最大损失的组织之一。抛弃外围心态并走向零信任——尤其是在
将更多的云和即服务产品嵌入到基础设施中——这是真正保护如此宝贵资产的唯一方法。 

时间戳记:

更多来自 芬泰达