金融专有云数据安全实践
金融專有云業(yè)務(wù)需求
從業(yè)界趨勢(shì)來(lái)看,作為一個(gè)互聯(lián)網(wǎng)大廠,在打造自己商業(yè)閉環(huán)的流程中,勢(shì)必會(huì)自建金融支付業(yè)務(wù),例如:早期淘寶,為了交易的公平性,上線了支付寶,騰訊也跟風(fēng)上了微信支付,京東商城被馬爸爸逼迫下也上了京東支付,京東白條等,根據(jù)先行者建設(shè)流程,一種形式傳統(tǒng)的IDC機(jī)房自建->自建公有云金融專區(qū)->自建公有云容器平臺(tái)金融專區(qū),另外一種形式,傳統(tǒng)IDC機(jī)房自建-> 金融專有云-> 基于容器平臺(tái)金融專有云。這樣建立的初衷就是降本增效,業(yè)務(wù)系統(tǒng)如果超過(guò)10000+ 從虛擬機(jī)時(shí)代到容器時(shí)代資源占用率會(huì)降低 30%。
從安全業(yè)務(wù)看,一方面:行業(yè)準(zhǔn)入安全合規(guī)視角分析,對(duì)于金融專有云平臺(tái)提出了更高的要求,需要通過(guò)等級(jí)保護(hù)4級(jí),這對(duì)平臺(tái)本身提出的很高的安全要求,特別是在可信計(jì)算領(lǐng)域有明確的要求;金融數(shù)據(jù)安規(guī)范也有明確的指引,需要有產(chǎn)品承載相應(yīng)的規(guī)范,另一方面,在金融專有云實(shí)際運(yùn)營(yíng)過(guò)程中面對(duì)黑客入侵,從數(shù)據(jù)治理層面要嚴(yán)格管控。
云原生數(shù)據(jù)安全解決方案
參考金融數(shù)據(jù)安全規(guī)范,在金融數(shù)據(jù)使用的生命周期中,對(duì)數(shù)據(jù)采集、傳輸、數(shù)據(jù)存儲(chǔ)、使用、刪除、銷毀有明確的規(guī)劃,這些規(guī)范需要自動(dòng)化平臺(tái)實(shí)現(xiàn)。
這里優(yōu)先討論一下金融數(shù)據(jù)分級(jí)概念:
二級(jí):主要包含合作單位的數(shù)據(jù),二級(jí)數(shù)據(jù)應(yīng)該優(yōu)先考慮業(yè)務(wù)需求
三級(jí):主要包含:個(gè)人財(cái)產(chǎn)信息,采集3級(jí)及以上數(shù)據(jù)時(shí),還應(yīng)結(jié)合口令密碼、設(shè)備指紋、設(shè)備物理位置、網(wǎng)絡(luò)接入方式、設(shè)備風(fēng)險(xiǎn)情況等多種因素對(duì)數(shù)據(jù)采集設(shè)備或系統(tǒng)的真實(shí)性進(jìn)行增強(qiáng)驗(yàn)證。
四級(jí):主要包含:支付密碼,四級(jí)數(shù)據(jù)應(yīng)優(yōu)先考慮安全需求,對(duì)采集全過(guò)程進(jìn)行持續(xù)動(dòng)態(tài)認(rèn)證,確保數(shù)據(jù)采集設(shè)備或系統(tǒng)的真實(shí)性,必要時(shí)可實(shí)施阻斷、二次認(rèn)證等操作。
從數(shù)據(jù)安全平臺(tái)建設(shè)層面分析
需要從敏感數(shù)據(jù)識(shí)別,敏感數(shù)據(jù)脫敏到防泄漏檢測(cè),有一整套數(shù)據(jù)安全解決方案。
平臺(tái)側(cè)數(shù)據(jù)安全:
1、云平臺(tái)數(shù)據(jù)安全包括供應(yīng)鏈安全、物理安全、可信原生工作負(fù)載
· 供應(yīng)鏈安全,目前很為了保證國(guó)內(nèi)金融市場(chǎng)穩(wěn)定性,對(duì)供應(yīng)鏈有了基于ARM鯤鵬國(guó)產(chǎn)服務(wù)器,麒麟操作系統(tǒng),國(guó)產(chǎn)加密算法等要求。
· 物理安全,主要是機(jī)房建設(shè)熱備、L4機(jī)房要標(biāo)準(zhǔn)等。
· 可信原生工作負(fù)載,包括物理服務(wù)器、Kubernetes集群,需要國(guó)產(chǎn)可信根、或者使用國(guó)產(chǎn)加密卡或者國(guó)產(chǎn)HSM。
2、云產(chǎn)品數(shù)據(jù)安全
· 硬件加密基礎(chǔ)設(shè)施,包括TPM可信根、密碼卡、HSM硬件加密機(jī)
· 全鏈路加密,涉及到工作負(fù)載、對(duì)象存儲(chǔ)、中間件、大數(shù)據(jù)組件、OpenAPI網(wǎng)關(guān)、對(duì)上層提供的SaaS服務(wù)都需要加密
· KMS秘鑰管理
租戶側(cè)數(shù)據(jù)安全:
1、針對(duì)公有云環(huán)境保護(hù):
網(wǎng)絡(luò)邊界防護(hù):通過(guò)DDoS防護(hù)、Web應(yīng)用防火墻、SSL證書、負(fù)載均衡、主機(jī)安全和云安全運(yùn)營(yíng)中心
2、云應(yīng)用的數(shù)據(jù)安全:
云應(yīng)用數(shù)據(jù)安全:敏感數(shù)據(jù)防護(hù)產(chǎn)品對(duì)持久化存儲(chǔ)(云硬盤、RDS數(shù)據(jù)庫(kù)、對(duì)象存儲(chǔ)、ES等)、云主機(jī)、k8s、虛擬鏡像、虛擬快照、容器鏡像透明加密。
產(chǎn)品技術(shù)架構(gòu):
數(shù)據(jù)安全產(chǎn)品規(guī)劃,建議把建立敏感數(shù)據(jù)保護(hù)產(chǎn)品,實(shí)現(xiàn)敏感數(shù)據(jù)的識(shí)別、分類、構(gòu)建數(shù)據(jù)資產(chǎn)地圖可視化,實(shí)現(xiàn)面館數(shù)據(jù)脫敏,包括智能變換、多種脫敏算法、自定義模板,實(shí)現(xiàn)防泄密檢測(cè)功能,包括異常告警,事件處置,同時(shí),把異常告警發(fā)送至云安全運(yùn)營(yíng)中心。
敏感數(shù)據(jù)保護(hù)產(chǎn)品業(yè)務(wù)流程:
業(yè)務(wù)流程
· 云產(chǎn)品有數(shù)據(jù)訪問(wèn)權(quán)限。需要用戶授權(quán)AK/SK授權(quán)
RDS
OSS
EBS
elasticsearch
自建數(shù)據(jù)庫(kù)
自建文件服務(wù)器
自建大數(shù)據(jù)組件
金融數(shù)據(jù)規(guī)范
PCI-DSS
自定義規(guī)則
創(chuàng)建識(shí)別任務(wù)
查詢/下載報(bào)告
非法用戶在未經(jīng)授權(quán)的情況下對(duì)敏感數(shù)據(jù)進(jìn)行了訪問(wèn)、下載
合法用戶對(duì)敏感數(shù)據(jù)進(jìn)行了批量訪問(wèn)、下載
數(shù)據(jù)訪問(wèn)越權(quán)操作
更改桶為公共讀或公共讀寫
脫敏算法:hash脫敏、加密脫敏、字符掩蓋、關(guān)鍵字脫敏等
創(chuàng)建靜態(tài)脫敏任務(wù)(mysql、es)
啟動(dòng)動(dòng)態(tài)脫敏
· 數(shù)據(jù)水印:PDF、word、excel
其它輔助解決方案
數(shù)據(jù)安全縱深防御解決方案,在特定場(chǎng)景中需要一些輔助方案:
當(dāng)數(shù)據(jù)采集過(guò)程當(dāng)中,需要同IDaaS方案集成到整體系統(tǒng)當(dāng)中;當(dāng)在CDN場(chǎng)景下需要對(duì)匯源服務(wù)器加密,需要借助keyless CDN解決方案;研發(fā)于運(yùn)維分離,運(yùn)維在操作數(shù)據(jù)時(shí),需要通過(guò)內(nèi)部堡壘機(jī)審計(jì)操作;數(shù)據(jù)銷毀的時(shí)候需要,走低級(jí)格式化流程。
【白嫖的網(wǎng)絡(luò)安全學(xué)習(xí)資料】
總結(jié)
以上是生活随笔為你收集整理的金融专有云数据安全实践的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Padding Oracle Attac
- 下一篇: 2021年云安全威胁预测,懂网络安全的无