Sicherheit, Datenschutz und Compliance aus Sicht von Finanzinstituten

Dieses Dokument im Google Cloud Well-Architected Framework: FSI perspective bietet einen Überblick über die Prinzipien und Empfehlungen zur Erfüllung der Sicherheits-, Datenschutz- und Compliance-Anforderungen von Arbeitslasten der Finanzdienstleistungsbranche (Financial Services Industry, FSI) in Google Cloud. Die Empfehlungen helfen Ihnen, eine robuste und konforme Infrastruktur aufzubauen, sensible Daten zu schützen, das Vertrauen der Kunden zu wahren, die komplexen behördlichen Anforderungen zu erfüllen und Cyberbedrohungen effektiv zu begegnen. Die Empfehlungen in diesem Dokument entsprechen der Sicherheitssäule des Well-Architected Framework.

Die Sicherheit beim Cloud Computing ist ein wichtiges Anliegen für FSI-Organisationen, die aufgrund der großen Mengen an sensiblen Daten, die sie verwalten, einschließlich Kundendetails und Finanzunterlagen, für Cyberkriminelle sehr attraktiv sind. Die Folgen eines Sicherheitsverstoßes sind äußerst schwerwiegend und umfassen erhebliche finanzielle Verluste, langfristige Reputationsschäden und hohe behördliche Geldstrafen. Daher benötigen FSI-Arbeitslasten strenge Sicherheitskontrollen.

Um für umfassende Sicherheit und Compliance zu sorgen, müssen Sie die geteilten Verantwortlichkeiten zwischen Ihnen (Finanzinstituten) und Google Cloudverstehen. Google Cloud ist für die Sicherheit der zugrunde liegenden Infrastruktur verantwortlich, einschließlich der physischen Sicherheit und der Netzwerksicherheit. Sie sind für die Sicherung von Daten und Anwendungen, die Konfiguration der Zugriffssteuerung sowie die Konfiguration und Verwaltung von Sicherheitsdiensten verantwortlich. Um Sie bei Ihren Sicherheitsbemühungen zu unterstützen, bietet das Google Cloud Partnernetzwerk Sicherheitsintegrationen und verwaltete Dienste.

Die Sicherheitsempfehlungen in diesem Dokument sind den folgenden Grundsätzen zugeordnet:

• Von Grund auf sicher
• Zero-Trust-Sicherheit implementieren
• Shift-Left-Sicherheit implementieren
• Vorbeugende Cyberabwehr implementieren
• KI sicher und verantwortungsbewusst nutzen und KI für Sicherheit einsetzen
• Behörden-, Compliance- und Datenschutzanforderungen erfüllen
• Sicherheitsinitiativen priorisieren

Sicherheit von Anfang an implementieren

Finanzvorschriften wie der Payment Card Industry Data Security Standard (PCI DSS), der Gramm-Leach-Bliley Act (GLBA) in den USA und verschiedene nationale Gesetze zum Schutz von Finanzdaten schreiben vor, dass die Sicherheit von Anfang an in Systeme integriert werden muss. Das Prinzip der Sicherheit „von Grund auf“ betont die Integration von Sicherheit über den gesamten Entwicklungszyklus hinweg, um sicherzustellen, dass Sicherheitslücken von Anfang an minimiert werden.

Wenn Sie das Prinzip „Security by Design“ für Ihre Arbeitslasten für Finanzdienstleistungen inGoogle Cloudanwenden möchten, sollten Sie die folgenden Empfehlungen berücksichtigen:

• Achten Sie darauf, dass nur die erforderlichen Berechtigungen gewährt werden, indem Sie das Prinzip der geringsten Berechtigung durch die detaillierte rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) anwenden. Die Verwendung von RBAC ist eine wichtige Anforderung in vielen Finanzvorschriften.
• Sicherheitsperimeter für Ihre vertraulichen Dienste und Daten in Google Cloud mit VPC Service Controls erzwingen Die Sicherheitsperimeter tragen dazu bei, sensible Daten und Ressourcen zu segmentieren und zu schützen und Daten-Exfiltration und unbefugten Zugriff zu verhindern, wie es die Vorschriften erfordern.
• Definieren Sie Sicherheitskonfigurationen als Code mit IaC-Tools (Infrastruktur als Code) wie Terraform. Bei diesem Ansatz werden Sicherheitskontrollen von der ersten Bereitstellungsphase an eingebettet, was zu Konsistenz und Prüfbarkeit beiträgt.
• Scannen Sie Ihren Anwendungscode, indem Sie Static Application Security Testing (SAST) mit Cloud Build in die CI/CD-Pipeline einbinden. Richten Sie automatisierte Sicherheitskontrollen ein, um die Bereitstellung von nicht konformem Code zu verhindern.
• Security Command Center bietet eine einheitliche Oberfläche für Sicherheitsinformationen. Durch die Verwendung von Security Command Center können Fehlkonfigurationen oder Bedrohungen, die zu Verstößen gegen behördliche Auflagen führen könnten, kontinuierlich überwacht und frühzeitig erkannt werden. Um die Anforderungen von Standards wie ISO 27001 und NIST 800-53 zu erfüllen, können Sie Vorlagen für die Konfigurationsverwaltung verwenden.
• Verfolgen Sie die Reduzierung der Sicherheitslücken, die in Produktionsbereitstellungen identifiziert werden, und den Prozentsatz der IaC-Bereitstellungen, die den Sicherheits-Best Practices entsprechen. Mit Security Command Center können Sie Sicherheitslücken und Informationen zur Einhaltung von Sicherheitsstandards erkennen und ansehen. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken.

Zero Trust implementieren

Moderne Finanzvorschriften betonen zunehmend die Notwendigkeit strenger Zugriffskontrollen und kontinuierlicher Überprüfung. Diese Anforderungen spiegeln das Zero-Trust-Prinzip wider, das darauf abzielt, Arbeitslasten vor internen und externen Bedrohungen und böswilligen Akteuren zu schützen. Das Zero-Trust-Prinzip sieht eine kontinuierliche Überprüfung jedes Nutzers und Geräts vor. Dadurch wird implizites Vertrauen ausgeschlossen und das seitliche Verschieben von Angriffen wird erschwert.

Beachten Sie die folgenden Empfehlungen, um Zero Trust zu implementieren:

• Aktivieren Sie den kontextsensitiven Zugriff basierend auf Nutzeridentität, Gerätesicherheit, Standort und anderen Faktoren, indem Sie IAM-Steuerelemente mit Chrome Enterprise Premium kombinieren. Dieser Ansatz gewährleistet eine kontinuierliche Überprüfung, bevor der Zugriff auf Finanzdaten und ‑systeme gewährt wird.
• Sorgen Sie für eine sichere und skalierbare Identitäts- und Zugriffsverwaltung, indem Sie Identity Platform (oder Ihren externen Identitätsanbieter, wenn Sie die Workforce Identity-Föderation verwenden) konfigurieren. Richten Sie die Multi-Faktor-Authentifizierung (MFA) und andere Kontrollen ein, die für die Implementierung von Zero Trust und die Einhaltung von Vorschriften unerlässlich sind.
• Implementieren Sie die MFA für alle Nutzerkonten, insbesondere für Konten mit Zugriff auf vertrauliche Daten oder Systeme.
• Unterstützen Sie Audits und Untersuchungen im Zusammenhang mit der Einhaltung von Vorschriften, indem Sie umfassende Protokollierung und Überwachung von Nutzerzugriffen und Netzwerkaktivitäten einrichten.
• Aktivieren Sie die private und sichere Kommunikation zwischen Diensten inGoogle Cloud und lokalen Umgebungen, ohne den Traffic über das öffentliche Internet zu leiten, indem Sie Private Service Connect verwenden.
• Implementieren Sie detaillierte Identitätskontrollen und autorisieren Sie den Zugriff auf Anwendungsebene mit Identity-Aware Proxy (IAP), anstatt sich auf netzwerkbasierte Sicherheitsmechanismen wie VPN-Tunnel zu verlassen. Dieser Ansatz trägt dazu bei, das Lateral Movement in der Umgebung zu reduzieren.

Shift-Left-Sicherheit implementieren

Finanzaufsichtsbehörden empfehlen proaktive Sicherheitsmaßnahmen. Wenn Sie Sicherheitslücken frühzeitig im Entwicklungszyklus erkennen und beheben, können Sie das Risiko von Sicherheitsvorfällen und potenziellen Strafen für die Nichteinhaltung von Vorschriften verringern. Das Prinzip der Shift-Left-Sicherheit fördert frühe Sicherheitstests und die Integration, was dazu beiträgt, die Kosten und Komplexität der Fehlerbehebung zu reduzieren.

Beachten Sie die folgenden Empfehlungen, um Shift-Left-Sicherheit zu implementieren:

• Sorgen Sie für automatisierte Sicherheitsprüfungen in einer frühen Phase des Entwicklungsprozesses, indem Sie Sicherheitsscanning-Tools wie das Scannen von Containerlücken und die statische Codeanalyse mit Cloud Build in die CI/CD-Pipeline einbinden.

• Sorgen Sie dafür, dass nur sichere Artefakte bereitgestellt werden, indem Sie Artifact Registry verwenden. Damit erhalten Sie ein sicheres und zentrales Repository für Softwarepakete und Container-Images mit integriertem Scannen auf Sicherheitslücken. Verwenden Sie virtuelle Repositories, um Angriffe durch Verwechslung von Abhängigkeiten zu verhindern, indem Sie Ihre privaten Artefakte gegenüber Remote-Repositories priorisieren.

• Webanwendungen automatisch auf häufige Sicherheitslücken scannen, indem Sie Web Security Scanner, einen Teil von Security Command Center, in Ihre Entwicklungspipelines einbinden.

• Implementieren Sie Sicherheitsprüfungen für den Quellcode, den Build-Prozess und die Code-Herkunft mithilfe des Supply-chain Levels for Software Artifacts (SLSA)-Frameworks. Erzwingen Sie die Herkunft der Arbeitslasten, die in Ihren Umgebungen ausgeführt werden, mit Lösungen wie der Binärautorisierung. Mit Assured Open Source können Sie dafür sorgen, dass in Ihren Workloads nur verifizierte Open-Source-Softwarebibliotheken verwendet werden.

• Verfolgen Sie die Anzahl der Sicherheitslücken, die in Ihrem Entwicklungszyklus identifiziert und behoben werden, den Prozentsatz der Codebereitstellungen, die Sicherheitsprüfungen bestehen, und die Verringerung der Sicherheitsvorfälle, die durch Software-Sicherheitslücken verursacht werden. Google Cloud bietet Tools, die Sie bei der Nachverfolgung für verschiedene Arten von Arbeitslasten unterstützen. Verwenden Sie für containerisierte Arbeitslasten beispielsweise die Container-Scanfunktion von Artifact Registry.

Präventive Cyberabwehr implementieren

Finanzinstitute sind ein beliebtes Ziel für ausgeklügelte Cyberangriffe. Vorschriften erfordern oft robuste Mechanismen zur Aufdeckung von Bedrohungen und proaktive Verteidigungsmechanismen. Die präventive Cyberabwehr konzentriert sich auf die proaktive Erkennung und Reaktion auf Bedrohungen mithilfe von erweiterten Analysen und Automatisierung.

Beachten Sie die folgenden Empfehlungen:

• Mit den Mandiant-Services für Threat Intelligence, Incident Response und Security Validation können Sie potenzielle Bedrohungen proaktiv erkennen und abwehren.
• Mit Google Cloud Armor können Sie Webanwendungen und APIs am Netzwerkrand vor Web-Exploits und DDoS-Angriffen schützen.
• Sicherheitsergebnisse und ‑empfehlungen mit Security Command Center aggregieren und priorisieren, damit Sicherheitsteams potenzielle Risiken proaktiv angehen können.
• Prüfen Sie präventive Schutzmaßnahmen und Pläne für die Reaktion auf Vorfälle durch regelmäßige Sicherheitssimulationen und Penetrationstests.
• Messen Sie die Zeit, die zum Erkennen und Reagieren auf Sicherheitsvorfälle benötigt wird, die Effektivität der DDoS-Schutzmaßnahmen und die Anzahl der verhinderten Cyberangriffe. Die erforderlichen Messwerte und Daten finden Sie in den SOAR- und SIEM-Dashboards von Google Security Operations.

KI sicher und verantwortungsbewusst nutzen und KI für Sicherheit einsetzen

KI und ML werden zunehmend für Anwendungsfälle im Bereich Finanzdienstleistungen wie Betrugserkennung und algorithmischer Handel eingesetzt. Vorschriften schreiben vor, dass diese Technologien ethisch, transparent und sicher eingesetzt werden müssen. KI kann auch dazu beitragen, Ihre Sicherheitsfunktionen zu verbessern. Beachten Sie die folgenden Empfehlungen für die Verwendung von KI:

• Mit Vertex AI können Sie ML-Modelle in einer sicheren und kontrollierten Umgebung entwickeln und bereitstellen. Funktionen wie die Erklärbarkeit von Modellen und Fairness-Messwerte können helfen, Bedenken hinsichtlich eines verantwortungsbewussten Umgangs mit KI auszuräumen.
• Nutzen Sie die Sicherheitsanalyse- und ‑betriebsfunktionen von Google Security Operations. Dabei werden KI und ML eingesetzt, um große Mengen an Sicherheitsdaten zu analysieren, Anomalien zu erkennen und die Reaktion auf Bedrohungen zu automatisieren. Diese Funktionen tragen dazu bei, Ihren allgemeinen Sicherheitsstatus zu verbessern und die Compliance zu überwachen.
• Legen Sie klare Governance-Richtlinien für die Entwicklung und Bereitstellung von KI und ML fest, einschließlich Sicherheits- und ethischer Aspekte.
• Die Elemente des Secure AI Framework (SAIF) bieten einen praktischen Ansatz, um die Sicherheits- und Risikobedenken von KI-Systemen zu berücksichtigen.
• Genauigkeit und Effektivität von KI-gestützten Systemen zur Betrugserkennung, Reduzierung von Fehlalarmen in Sicherheitswarnungen und Effizienzsteigerungen durch KI-gestützte Sicherheitsautomatisierung nachverfolgen

Behörden-, Compliance- und Datenschutzanforderungen erfüllen

Finanzdienstleistungen unterliegen einer Vielzahl von Vorschriften, darunter Anforderungen an den Datenstandort, spezifische Prüfpfade und Datenschutzstandards. Damit sensible Daten richtig identifiziert, geschützt und verwaltet werden, benötigen Finanzinstitute robuste Richtlinien zur Data Governance und Schemata zur Datenklassifizierung. Beachten Sie die folgenden Empfehlungen, um die behördlichen Anforderungen zu erfüllen:

• Richten Sie Datenbegrenzungen in Google Cloud für sensible und regulierte Arbeitslasten mit Assured Workloads ein. So können Sie behördliche und branchenspezifische Compliance-Anforderungen wie FedRAMP und CJIS einhalten.
• Implementieren Sie Cloud Data Loss Prevention (Cloud DLP), um sensible Daten wie Finanzinformationen zu identifizieren, zu klassifizieren und zu schützen. So können Sie Datenschutzbestimmungen wie die DSGVO und den CCPA einhalten.
• Mit Cloud-Audit-Logs können Sie Details zu administrativen Aktivitäten und zum Zugriff auf Ressourcen nachverfolgen. Diese Logs sind entscheidend, um die Prüfanforderungen zu erfüllen, die in vielen Finanzvorschriften festgelegt sind.
• Wenn Sie Google Cloud -Regionen für Ihre Arbeitslasten und Daten auswählen, sollten Sie die lokalen Vorschriften zum Datenstandort berücksichtigen. Google Cloud globale Infrastruktur ermöglicht es Ihnen, Regionen auszuwählen, die Ihnen helfen können, Ihre Anforderungen an den Datenstandort zu erfüllen.
• Verwalten Sie die Schlüssel, die zum Verschlüsseln sensibler Finanzdaten im Ruhezustand und bei der Übertragung verwendet werden, mit dem Cloud Key Management Service. Eine solche Verschlüsselung ist eine grundlegende Anforderung vieler Sicherheits- und Datenschutzbestimmungen.
• Implementieren Sie die Kontrollen, die erforderlich sind, um Ihre regulatorischen Anforderungen zu erfüllen. Prüfen Sie, ob die Kontrollvariablen wie erwartet funktionieren. Lassen Sie die Kontrollen noch einmal von einem externen Prüfer validieren, um der Aufsichtsbehörde nachzuweisen, dass Ihre Arbeitslasten den Vorschriften entsprechen.

Sicherheitsinitiativen priorisieren

Angesichts der Vielzahl von Sicherheitsanforderungen müssen Finanzinstitute Initiativen priorisieren, die auf Risikobewertungen und behördlichen Vorgaben basieren. Wir empfehlen die folgende Vorgehensweise in Phasen:

1. Eine solide Sicherheitsgrundlage schaffen: Konzentrieren Sie sich auf die Kernbereiche der Sicherheit, einschließlich Identitäts- und Zugriffsverwaltung, Netzwerksicherheit und Datenschutz. Dieser Fokus trägt dazu bei, ein robustes Sicherheitskonzept zu entwickeln und umfassenden Schutz vor sich entwickelnden Bedrohungen zu gewährleisten.
2. Wichtige Vorschriften berücksichtigen: Priorisieren Sie die Einhaltung wichtiger Vorschriften wie PCI DSS, DSGVO und relevanter nationaler Gesetze. So können Sie den Datenschutz gewährleisten, rechtliche Risiken minimieren und das Vertrauen Ihrer Kunden stärken.
3. Erweiterte Sicherheitsmaßnahmen implementieren: Führen Sie nach und nach erweiterte Sicherheitsmaßnahmen wie Zero Trust, KI-basierte Sicherheitslösungen und proaktive Bedrohungsanalysen ein.