Azure Security and Compliance Blueprint: Analys för FFIEC Financial Services

Översikt

Den här azure-säkerhets- och efterlevnadsritningen ger vägledning för distributionen av en dataanalysarkitektur i Azure som är lämplig för insamling, lagring och hämtning av finansiella data som regleras av Federal Financial Institution Examination Council (FFIEC).

Den här referensarkitekturen, implementeringsguiden och hotmodellen utgör en grund för kunderna att uppfylla FFIEC-kraven. Den här lösningen tillhandahåller en baslinje som hjälper kunder att distribuera arbetsbelastningar till Azure på ett FFIEC-kompatibelt sätt. Den här lösningen bör dock inte användas as-is i en produktionsmiljö eftersom ytterligare konfiguration krävs.

För att uppnå FFIEC-efterlevnad krävs att kvalificerade granskare certifierar en produktionskundslösning. Revisioner övervakas av granskare från FFIEC: s medlemsorgan, inklusive styrelsen för Federal Reserve System (FRB), Federal Deposit Insurance Corporation (FDIC), National Credit Union Administration (NCUA), Office of the Comptroller of the Currency (OCC) och Consumer Financial Protection Bureau (CFPB). Dessa granskare intygar att revisioner slutförs av bedömare som upprätthåller oberoende från den granskade institutionen. Kunderna ansvarar för att utföra lämpliga säkerhets- och efterlevnadsbedömningar av alla lösningar som skapats med hjälp av den här arkitekturen, eftersom kraven kan variera beroende på detaljerna i varje kunds implementering.

Arkitekturdiagram och komponenter

Den här azure-säkerhets- och efterlevnadsritningen tillhandahåller en analysplattform där kunderna kan skapa egna analysverktyg. Referensarkitekturen beskriver ett allmänt användningsfall där kunder matar in data antingen via massimport av data från SQL/dataadministratören eller via driftdatauppdateringar via en driftanvändare. Båda arbetsströmmarna innehåller Azure Functions för att importera data till Azure SQL Database. Azure Functions måste konfigureras av kunden via Azure-portalen för att hantera importuppgifter som är unika för varje kunds egna analyskrav.

Azure erbjuder en mängd olika rapporterings- och analystjänster för kunderna. Den här lösningen innehåller Azure Machine Learning tillsammans med Azure SQL Database för att snabbt bläddra igenom data och leverera snabbare resultat genom smartare modellering. Azure Machine Learning ökar frågehastigheten genom att identifiera nya relationer mellan datauppsättningar. När data har tränats genom flera statistiska funktioner kan upp till 7 ytterligare frågepooler (totalt 8 inklusive kundservern) synkroniseras med samma tabellmodeller för att sprida frågearbetsbelastningar och minska svarstiderna.

För förbättrad analys och rapportering kan Azure SQL-databaser konfigureras med kolumnlagringsindex. Både Azure Machine Learning- och Azure SQL-databaser kan skalas upp eller ned eller stängas av helt som svar på kundens användning. All SQL-trafik krypteras med SSL genom att självsignerade certifikat inkluderas. Som bästa praxis rekommenderar Azure att du använder en betrodd certifikatutfärdare för förbättrad säkerhet.

När data har laddats upp till Azure SQL Database och tränats av Azure Machine Learning sammanfattas de av både den operativa användaren och SQL/Data Admin med Power BI. Power BI visar data intuitivt och samlar in information över flera datauppsättningar för att få större insikt. Den höga grad av anpassningsbarhet och enkel integrering med Azure SQL Database säkerställer att kunderna kan konfigurera den för att hantera en mängd olika scenarier enligt deras affärsbehov.

Lösningen använder Azure Storage-konton, som kunder kan konfigurera för att använda Kryptering av lagringstjänst för att upprätthålla konfidentialiteten för vilande data. Azure lagrar tre kopior av data i kundens valda datacenter för återhämtning. Geografisk redundant lagring säkerställer att data replikeras till ett sekundärt datacenter hundratals mil bort och återigen lagras som tre kopior inom det datacentret, vilket förhindrar att en negativ händelse i kundens primära datacenter resulterar i dataförlust.

För ökad säkerhet hanteras alla resurser i den här lösningen som en resursgrupp via Azure Resource Manager. Rollbaserad åtkomstkontroll i Azure Active Directory används för att styra åtkomsten till distribuerade resurser, inklusive deras nycklar i Azure Key Vault. Systemhälsa övervakas via Azure Security Center och Azure Monitor. Kunder konfigurerar både övervakningstjänster för att samla in loggar och visa systemets hälsa på en enda instrumentpanel som är lätt att navigera.

Azure SQL Database hanteras ofta via SQL Server Management Studio (SSMS), som körs från en lokal dator som konfigurerats för åtkomst till Azure SQL Database via en säker VPN- eller ExpressRoute-anslutning. Microsoft rekommenderar att du konfigurerar en VPN- eller ExpressRoute-anslutning för hantering och dataimport till resursgruppen för referensarkitektur.

Den här lösningen använder följande Azure-tjänster. Information om distributionsarkitekturen finns i avsnittet Distributionsarkitektur .

• Programinsikter
• Azure Active Directory
• Azure Data Catalog
• Azure Disk Encryption
• Azure Event Grid
• Azure-funktioner
• Azure Key Vault
• Azure Machine Learning
• Azure Monitor (logs)
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Virtuellt Azure-nätverk
  • (1) /16 Nätverk
  • (2) /24 Nätverk
  • (2) Nätverkssäkerhetsgrupper
• Power BI-instrumentpanel

Distributionsarkitektur

I följande avsnitt beskrivs distributions- och implementeringselementen.

Azure Event Grid: Med Azure Event Grid kan kunderna enkelt skapa program med händelsebaserade arkitekturer. Användare väljer den Azure-resurs som de vill prenumerera på och ger händelsehanteraren eller webhook en slutpunkt som händelsen ska skickas till. Kunder kan skydda webhook-slutpunkter genom att lägga till frågeparametrar i webhookens URL när de skapar en händelseprenumeration. Azure Event Grid stöder endast HTTPS webhook-slutpunkter. Med Azure Event Grid kan kunder styra vilken åtkomstnivå som ges till olika användare för att utföra olika hanteringsåtgärder, till exempel lista händelseprenumerationer, skapa nya och generera nycklar. Event Grid använder rollbaserad åtkomstkontroll i Azure.

Azure Functions: Azure Functions är en serverlös beräkningstjänst som gör det möjligt för användare att köra kod på begäran utan att uttryckligen behöva etablera eller hantera infrastruktur. Använd Azure Functions för att köra ett skript eller kod som svar på en mängd olika händelser.

Azure Machine Learning: Azure Machine Learning är en datavetenskapsteknik som gör det möjligt för datorer att använda befintliga data för att förutsäga framtida beteenden, resultat och trender.

Azure Data Catalog: Data Catalog gör datakällorna lätta att identifiera och förstå av de användare som hanterar data. Vanliga datakällor kan registreras, taggas och sökas efter finansiella data. Data finns kvar på den befintliga platsen, men en kopia av dess metadata läggs till i Data Catalog, tillsammans med en referens till datakällans plats. Dessa metadata indexeras också för att varje datakälla enkelt ska kunna hittas via sökning och vara lätt att förstå för användare.

Virtuellt nätverk

Arkitekturen definierar ett privat virtuellt nätverk med adressutrymmet 10.200.0.0/16.

Nätverkssäkerhetsgrupper: Nätverkssäkerhetsgrupper innehåller åtkomstkontrollistor som tillåter eller nekar trafik i ett virtuellt nätverk. Nätverkssäkerhetsgrupper kan användas för att skydda trafik på en undernätsnivå eller en enskild virtuell datornivå. Följande nätverkssäkerhetsgrupper finns:

• En nätverkssäkerhetsgrupp för Active Directory
• En nätverkssäkerhetsgrupp för arbetsbelastningen

Var och en av nätverkssäkerhetsgrupperna har specifika portar och protokoll öppna så att lösningen kan fungera säkert och korrekt. Dessutom är följande konfigurationer aktiverade för varje nätverkssäkerhetsgrupp:

• Diagnostikloggar och händelser aktiveras och lagras i ett lagringskonto
• Azure Monitor-loggar är anslutna till nätverkssäkerhetsgruppens diagnostikloggar

Undernät: Varje undernät är associerat med motsvarande nätverkssäkerhetsgrupp.

Data på väg

Azure krypterar all kommunikation till och från Azure-datacenter som standard. Alla transaktioner till Azure Storage via Azure-portalen sker via HTTPS.

Data i vila

Arkitekturen skyddar vilande data genom kryptering, databasgranskning och andra mått.

Azure Storage: För att uppfylla kraven för krypterade data i vila använder alla Azure StorageKryptering av lagringstjänst. Detta hjälper till att skydda data till stöd för organisationens säkerhetsåtaganden och efterlevnadskrav som definieras av FFIEC.

Azure Disk Encryption: Azure Disk Encryption utnyttjar BitLocker-funktionen i Windows för att tillhandahålla volymkryptering för datadiskar. Lösningen integreras med Azure Key Vault för att styra och hantera diskkrypteringsnycklarna.

Azure SQL Database: Azure SQL Database-instansen använder följande databassäkerhetsåtgärder:

• Active Directory-autentisering och auktorisering möjliggör identitetshantering av databasanvändare och andra Microsoft-tjänster på en central plats.
• SQL-databasgranskning spårar databashändelser och skriver dem till en granskningslogg i ett Azure Storage-konto.
• Azure SQL Database är konfigurerat för att använda transparent datakryptering, som utför kryptering och dekryptering i realtid av databasen, tillhörande säkerhetskopior och transaktionsloggfiler för att skydda information i vila. Transparent datakryptering garanterar att lagrade data inte har obehörig åtkomst.
• brandväggsregler förhindra all åtkomst till databasservrar tills rätt behörigheter har beviljats. Brandväggen ger åtkomst till databaser baserat på vilken IP-adress som varje begäran kommer från.
• SQL Threat Detection möjliggör identifiering och svar på potentiella hot när de inträffar genom att tillhandahålla säkerhetsaviseringar för misstänkta databasaktiviteter, potentiella sårbarheter, SQL-inmatningsattacker och avvikande databasåtkomstmönster.
• Krypterade kolumner ser till att känsliga data aldrig visas som klartext i databassystemet. När du har aktiverat datakryptering kan endast klientprogram eller programservrar med åtkomst till nycklarna komma åt klartextdata.
• Utökade egenskaper kan användas för att avsluta bearbetningen av registrerade personer, eftersom det gör att användare kan lägga till anpassade egenskaper i databasobjekt och märka data som "Upphört" för att stötta applikationslogik som hindrar bearbetningen av associerade finansiella data.
• Row-Level Security gör det möjligt för användare att definiera principer för att begränsa åtkomsten till data för att avbryta bearbetningen.
• Dynamisk datamaskning i SQL Database begränsar exponeringen av känsliga data genom att maskera data till icke-privilegierade användare eller program. Dynamisk datamaskning kan automatiskt identifiera potentiellt känsliga data och föreslå lämpliga masker som ska användas. Detta hjälper till att identifiera och minska åtkomsten till data så att den inte avslutar databasen via obehörig åtkomst. Kunderna ansvarar för att justera inställningarna för dynamisk datamaskning så att de följer sitt databasschema.

Identitetshantering

Följande tekniker tillhandahåller funktioner för att hantera åtkomst till data i Azure-miljön:

• Azure Active Directory är Microsofts molnbaserade katalog- och identitetshanteringstjänst för flera klientorganisationer. Alla användare för den här lösningen skapas i Azure Active Directory, inklusive användare som har åtkomst till Azure SQL Database.
• Autentisering till programmet utförs med Hjälp av Azure Active Directory. Mer information finns i integrera program med Azure Active Directory. Dessutom använder databaskolumnkryptering Azure Active Directory för att autentisera programmet till Azure SQL Database. Mer information finns i hur du skyddar känsliga data i Azure SQL Database.
• Med rollbaserad åtkomstkontroll i Azure kan administratörer definiera detaljerad åtkomstbehörighet för att endast bevilja den mängd åtkomst som användarna behöver för att utföra sina jobb. I stället för att ge alla användare obegränsad behörighet för Azure-resurser kan administratörer endast tillåta vissa åtgärder för åtkomst till data. Prenumerationsåtkomst är begränsad till prenumerationsadministratören.
• Med Azure Active Directory Privileged Identity Management kan kunderna minimera antalet användare som har åtkomst till viss information. Administratörer kan använda Azure Active Directory Privileged Identity Management för att identifiera, begränsa och övervaka privilegierade identiteter och deras åtkomst till resurser. Den här funktionen kan också användas för att vid behov tillämpa precis i tid administrativ åtkomst.
• Azure Active Directory Identity Protection identifierar potentiella sårbarheter som påverkar en organisations identiteter, konfigurerar automatiserade svar på identifierade misstänkta åtgärder relaterade till en organisations identiteter och undersöker misstänkta incidenter för att vidta lämpliga åtgärder för att lösa dem.

Säkerhet

Secrets Management: Lösningen använder Azure Key Vault- för hantering av nycklar och hemligheter. Azure Key Vault hjälper till att bevara kryptografiska nycklar och hemligheter som används av molnprogram och molntjänster. Följande Azure Key Vault-funktioner hjälper kunderna att skydda och komma åt sådana data:

• Avancerade åtkomstprinciper konfigureras på behovsbasis.
• Key Vault-åtkomstprinciper definieras med minsta behörighet som krävs för nycklar och hemligheter.
• Alla nycklar och hemligheter i Key Vault har förfallodatum.
• Alla nycklar i Key Vault skyddas av specialiserade maskinvarusäkerhetsmoduler. Nyckeltypen är en HSM-skyddad 2048-bitars RSA-nyckel.
• Alla användare och identiteter beviljas minsta nödvändiga behörigheter med hjälp av rollbaserad åtkomstkontroll.
• Diagnostikloggar för Key Vault aktiveras med en kvarhållningsperiod på minst 365 dagar.
• Tillåtna kryptografiska åtgärder för nycklar är begränsade till de som krävs.

Azure Security Center: Med Azure Security Center kan kunder centralt tillämpa och hantera säkerhetsprinciper mellan arbetsbelastningar, begränsa exponeringen för hot och identifiera och svara på attacker. Dessutom har Azure Security Center åtkomst till befintliga konfigurationer av Azure-tjänster för att tillhandahålla konfigurations- och tjänstrekommendationer för att förbättra säkerhetsstatusen och skydda data.

Azure Security Center använder en mängd olika identifieringsfunktioner för att varna kunder om potentiella attacker som riktas mot deras miljöer. Dessa aviseringar innehåller värdefull information om vad som utlöste aviseringen, vilka resurser som var mål och källan till attacken. Azure Security Center har en uppsättning fördefinierade säkerhetsaviseringar som utlöses när ett hot eller misstänkt aktivitet äger rum. Med anpassade aviseringsregler i Azure Security Center kan kunder definiera nya säkerhetsaviseringar baserat på data som redan har samlats in från deras miljö.

Azure Security Center tillhandahåller prioriterade säkerhetsaviseringar och incidenter, vilket gör det enklare för kunder att identifiera och åtgärda potentiella säkerhetsproblem. En hotinformationsrapport genereras för varje identifierat hot för att hjälpa incidenthanteringsteam att undersöka och åtgärda hot.

Loggning och granskning

Azure-tjänster loggar i stor utsträckning system- och användaraktivitet samt systemhälsa:

• Aktivitetsloggar: Aktivitetsloggar ger insikter om åtgärder som utförs på resurser i en prenumeration. Aktivitetsloggar kan hjälpa dig att fastställa en åtgärds initierare, tidpunkt för förekomst och status.
• Diagnostikloggar: Diagnostikloggar innehåller alla loggar som genereras av varje resurs. Dessa loggar omfattar Windows-händelsesystemloggar, Azure Storage-loggar, Key Vault-granskningsloggar och Application Gateway-åtkomst och brandväggsloggar. Alla diagnostikloggar skriver till ett centraliserat och krypterat Azure Storage-konto för arkivering. Kvarhållningen är användarkonfigurerbar, upp till 730 dagar, för att uppfylla organisationens specifika kvarhållningskrav.

Azure Monitor-loggar: Dessa loggar konsolideras i Azure Monitor-loggar för bearbetning, lagring och instrumentpanelsrapportering. När de har samlats in ordnas data i separata tabeller för varje datatyp i Log Analytics-arbetsytor, vilket gör att alla data kan analyseras tillsammans oavsett dess ursprungliga källa. Dessutom integreras Azure Security Center med Azure Monitor-loggar så att kunder kan använda Kusto-frågor för att komma åt sina säkerhetshändelsedata och kombinera dem med data från andra tjänster.

Följande Azure-övervakningslösningar ingår som en del av den här arkitekturen:

• Active Directory-utvärdering: Active Directory Health Check-lösningen utvärderar risken och hälsotillståndet för servermiljöer med jämna mellanrum och tillhandahåller en prioriterad lista med rekommendationer som är specifika för den distribuerade serverinfrastrukturen.
• SQL Assessment: SQL Health Check-lösningen utvärderar risken och hälsan för servermiljöer regelbundet och ger kunderna en prioriterad lista med rekommendationer som är specifika för den distribuerade serverinfrastrukturen.
• Agent health: Agenthälsolösningen rapporterar hur många agenter som distribueras och deras geografiska distribution, samt hur många agenter som inte svarar och antalet agenter som skickar driftdata.
• Aktivitetslogganalys: Lösningen för aktivitetslogganalys hjälper till med analys av Azure-aktivitetsloggarna i alla Azure-prenumerationer för en kund.

Azure Automation: Azure Automation lagrar, kör och hanterar runbooks. I den här lösningen hjälper runbooks till att samla in loggar från Azure SQL Database. Med automationslösningen för ändringsspårning kan kunderna enkelt identifiera ändringar i miljön.

Azure Monitor: Azure Monitor hjälper användare att spåra prestanda, upprätthålla säkerhet och identifiera trender genom att göra det möjligt för organisationer att granska, skapa aviseringar och arkivera data, inklusive spårning av API-anrop i sina Azure-resurser.

Application Insights: Application Insights är en utökningsbar APM-tjänst (Application Performance Management) för webbutvecklare på flera plattformar. Den identifierar prestandaavvikelser och innehåller kraftfulla analysverktyg för att diagnostisera problem och för att förstå vad användarna faktiskt gör med appen. Den är utformad för att hjälpa användarna att kontinuerligt förbättra prestanda och användbarhet.

Säkerhetsmodell

Dataflödesdiagrammet för den här referensarkitekturen är tillgängligt för nedladdning eller finns nedan. Den här modellen kan hjälpa kunderna att förstå de potentiella riskerna i systeminfrastrukturen när de gör ändringar.

Dokumentation om efterlevnad

Azure Security and Compliance Blueprint – FFIEC Customer Responsibility Matrix innehåller alla mål som krävs av FFIEC. Den här matrisen beskriver om implementeringen av varje mål är Microsofts ansvar, kunden eller delas mellan de två.

Azure Security and Compliance Blueprint – FFIEC Data Analytics Implementation Matrix innehåller information om vilka FFIEC-mål som hanteras av dataanalysarkitekturen, inklusive detaljerade beskrivningar av hur implementeringen uppfyller kraven för varje mål som omfattas.

Vägledning och rekommendationer

VPN och ExpressRoute

En säker VPN-tunnel eller ExpressRoute måste konfigureras för att på ett säkert sätt upprätta en anslutning till de resurser som distribueras som en del av den här referensarkitekturen för dataanalys. Genom att konfigurera ett VPN eller ExpressRoute på rätt sätt kan kunderna lägga till ett skyddslager för data under överföring.

Genom att implementera en säker VPN-tunnel med Azure kan du skapa en virtuell privat anslutning mellan ett lokalt nätverk och ett virtuellt Azure-nätverk. Den här anslutningen sker via Internet och gör det möjligt för kunder att på ett säkert sätt "tunnel" information i en krypterad länk mellan kundens nätverk och Azure. Plats-till-plats-VPN är en säker, mogen teknik som har distribuerats av företag av alla storlekar i årtionden. IPsec-tunnelläge används i det här alternativet som en krypteringsmekanism.

Eftersom trafik i VPN-tunneln passerar Internet med ett plats-till-plats-VPN, erbjuder Microsoft ett annat, ännu säkrare anslutningsalternativ. Azure ExpressRoute är en dedikerad WAN-länk mellan Azure och en lokal plats eller en Exchange-värdleverantör. Eftersom ExpressRoute-anslutningar inte går via Internet ger dessa anslutningar mer tillförlitlighet, snabbare hastigheter, kortare svarstider och högre säkerhet än vanliga anslutningar via Internet. Eftersom detta är en direkt anslutning till kundens telekommunikationsleverantör överförs inte data via Internet och exponeras därför inte för dem.

Metodtips för att implementera ett säkert hybridnätverk som utökar ett lokalt nätverk till Azure är tillgängliga.

ExtraheraTransform-Load processen

PolyBase kan läsa in data i Azure SQL Database utan att behöva ett separat extraherings-, transformerings-, inläsnings- eller importverktyg. PolyBase ger åtkomst till data via T-SQL-frågor. Microsofts business intelligence- och analysstack, samt verktyg från tredje part som är kompatibla med SQL Server, kan användas med PolyBase.

Azure Active Directory-konfiguration

Azure Active Directory är viktigt för att hantera distributionen och etableringsåtkomsten till personal som interagerar med miljön. En befintlig Windows Server Active Directory kan integreras med Azure Active Directory med fyra klickningar. Kunder kan också koppla den distribuerade Active Directory-infrastrukturen (domänkontrollanter) till en befintlig Azure Active Directory genom att göra den distribuerade Active Directory-infrastrukturen till en underdomän för en Azure Active Directory-skog.

Friskrivning

• Det här dokumentet är endast i informationssyfte. MICROSOFT GER INGA GARANTIER, UTTRYCKLIGA, UNDERFÖRSTÅDDA ELLER LAGSTADGADE UPPGIFTER OM INFORMATIONEN I DET HÄR DOKUMENTET. Det här dokumentet tillhandahållsas-is. Information och åsikter som uttrycks i det här dokumentet, inklusive URL och andra referenser till internetwebbplatser, kan ändras utan föregående meddelande. Kunder som läser det här dokumentet riskerar att använda det.
• Det här dokumentet ger inte kunderna några juridiska rättigheter till någon immateriell egendom i någon Microsoft-produkt eller -lösning.
• Kunder kan kopiera och använda det här dokumentet för interna referensändamål.
• Vissa rekommendationer i det här dokumentet kan leda till ökad användning av data, nätverk eller beräkningsresurser i Azure och kan öka kundens Azure-licens- eller prenumerationskostnader.
• Den här arkitekturen är avsedd att fungera som en grund för kunder att anpassa sig till sina specifika krav och bör inte användas as-is i en produktionsmiljö.
• Det här dokumentet är utvecklat som en referens och bör inte användas för att definiera alla sätt som en kund kan uppfylla specifika efterlevnadskrav och föreskrifter på. Kunder bör söka juridisk support från organisationen för godkända kundimplementeringar.