金融专有云数据安全实践
2021-05-12 12:00:00 Author: www.4hou.com(查看原文) 阅读量:154 收藏

1、金融专有云业务需求

从业界趋势来看,作为一个互联网大厂,在打造自己商业闭环的流程中,势必会自建金融支付业务,例如:早期淘宝,为了交易的公平性,上线了支付宝,腾讯也跟风上了微信支付,京东商城被马爸爸逼迫下也上了京东支付,京东白条等,根据先行者建设流程,一种形式传统的IDC机房自建->自建公有云金融专区->自建公有云容器平台金融专区,另外一种形式,传统IDC机房自建-> 金融专有云-> 基于容器平台金融专有云。这样建立的初衷就是降本增效,业务系统如果超过10000+ 从虚拟机时代到容器时代资源占用率会降低 30%。

从安全业务看,一方面:行业准入安全合规视角分析,对于金融专有云平台提出了更高的要求,需要通过等级保护4级,这对平台本身提出的很高的安全要求,特别是在可信计算领域有明确的要求;金融数据安规范也有明确的指引,需要有产品承载相应的规范,另一方面,在金融专有云实际运营过程中面对黑客入侵,从数据治理层面要严格管控。

2、云原生数据安全解决方案ds1

ds1.png

参考金融数据安全规范,在金融数据使用的生命周期中,对数据采集、传输、数据存储、使用、删除、销毁有明确的规划,这些规范需要自动化平台实现。

这里优先讨论一下金融数据分级概念:

二级:主要包含合作单位的数据,二级数据应该优先考虑业务需求

三级:主要包含:个人财产信息,采集3级及以上数据时,还应结合口令密码、设备指纹、设备物理位置、网络接入方式、设备风险情况等多种因素对数据采集设备或系统的真实性进行增强验证。

四级:主要包含:支付密码,四级数据应优先考虑安全需求,对采集全过程进行持续动态认证,确保数据采集设备或系统的真实性,必要时可实施阻断、二次认证等操作。

从数据安全平台建设层面分析

需要从敏感数据识别,敏感数据脱敏到防泄漏检测,有一整套数据安全解决方案。

ds2ds2.png

平台侧数据安全:

1、云平台数据安全包括供应链安全、物理安全、可信原生工作负载

· 供应链安全,目前很为了保证国内金融市场稳定性,对供应链有了基于ARM鲲鹏国产服务器,麒麟操作系统,国产加密算法等要求。

· 物理安全,主要是机房建设热备、L4机房要标准等。

· 可信原生工作负载,包括物理服务器、Kubernetes集群,需要国产可信根、或者使用国产加密卡或者国产HSM。

2、云产品数据安全

· 硬件加密基础设施,包括TPM可信根、密码卡、HSM硬件加密机

· 全链路加密,涉及到工作负载、对象存储、中间件、大数据组件、OpenAPI网关、对上层提供的SaaS服务都需要加密

· KMS秘钥管理

ds3.pngds3

租户侧数据安全:

1、针对公有云环境保护:

网络边界防护:通过DDoS防护、Web应用防火墙、SSL证书、负载均衡、主机安全和云安全运营中心

2、云应用的数据安全:

云应用数据安全:敏感数据防护产品对持久化存储(云硬盘、RDS数据库、对象存储、ES等)、云主机、k8s、虚拟镜像、虚拟快照、容器镜像透明加密。

ds5.png

ds5ds4.png

3、产品技术架构:

数据安全产品规划,建议把建立敏感数据保护产品,实现敏感数据的识别、分类、构建数据资产地图可视化,实现面馆数据脱敏,包括智能变换、多种脱敏算法、自定义模板,实现防泄密检测功能,包括异常告警,事件处置,同时,把异常告警发送至云安全运营中心。

敏感数据保护产品业务流程:

ds7.pngds7

业务流程

· 云产品有数据访问权限。需要用户授权

   ~ AK/SK授权

· 添加相关资产

   ~ RDS

   ~ OSS

   ~ EBS

   ~ elasticsearch

   ~ 自建数据库

   ~ 自建文件服务器

   ~ 自建大数据组件

· 识别敏感数据

   ~ 金融数据规范

   ~ PCI-DSS

   ~ 自定义规则

   ~ 创建识别任务

   ~ 查询/下载报告

· 异常告警&处置

   ~ 非法用户在未经授权的情况下对敏感数据进行了访问、下载

   ~ 合法用户对敏感数据进行了批量访问、下载

   ~ 数据访问越权操作

   ~ 更改桶为公共读或公共读写

· 数据脱敏

   ~ 脱敏算法:hash脱敏、加密脱敏、字符掩盖、关键字脱敏等

   ~ 创建静态脱敏任务(mysql、es)

   ~ 启动动态脱敏

· 数据水印:PDF、word、excel

动态数据脱敏,需要用户集成动态脱敏函数,在写入的过程中就需要对数据库、ES、HIVE等数据处置(调研敏感数据API)。通过数据加密网关实现对明文动态加密,同时也不会影响现有后端架构,改造成本低。架构图如下:

ds6.pngds6

3、其它辅助解决方案

数据安全纵深防御解决方案,在特定场景中需要一些辅助方案:

当数据采集过程当中,需要同IDaaS方案集成到整体系统当中;当在CDN场景下需要对汇源服务器加密,需要借助keyless CDN解决方案;研发于运维分离,运维在操作数据时,需要通过内部堡垒机审计操作;数据销毁的时候需要,走低级格式化流程。

本文为 bt0sea 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/XqRg
如有侵权请联系:admin#unsafe.sh