Azure Security and Compliance Blueprint: Analytics for FFIEC Financial Services

Descrição Geral

Este Azure Security and Compliance Blueprint fornece orientações para a implantação de uma arquitetura de análise de dados em Azure adequada para a recolha, armazenamento e recuperação de dados financeiros regulados pelo Federal Financial Institution Examination Council (FFIEC).

Esta arquitetura de referência, guia de implementação e modelo de ameaça fornecem uma base para os clientes cumprirem os requisitos do FFIEC. Esta solução fornece uma linha de base para ajudar os clientes a implementar cargas de trabalho para a Azure de forma compatível com o FFIEC; no entanto, esta solução não deve ser utilizada como um ambiente de produção, uma vez que é necessária uma configuração adicional.

A obtenção do cumprimento do FFIEC requer que os auditores qualificados certifiquem uma solução de cliente de produção. As auditorias são supervisionadas por examinadores das agências membros da FFIEC, incluindo o Conselho de Governadores do Sistema de Reserva Federal (FRB), a Federal Deposit Insurance Corporation (FDIC), a National Credit Union Administration (NCUA), o Office of the Comptroller of the Currency (OCC) e o Consumer Financial Protection Bureau (CFPB). Estes examinadores certificam que as auditorias são completadas por avaliadores que mantêm a independência da instituição auditada. Os clientes são responsáveis pela realização de avaliações adequadas de segurança e conformidade de qualquer solução construída com esta arquitetura, uma vez que os requisitos podem variar em função das especificidades da implementação de cada cliente.

Diagrama de arquitetura e componentes

Este Azure Security and Compliance Blueprint fornece uma plataforma de análise sobre a qual os clientes podem construir as suas próprias ferramentas de análise. A arquitetura de referência descreve um caso de utilização genérica em que os clientes introduzem dados através de importações de dados a granel pelo SQL/Data Administrator ou através de atualizações de dados operacionais através de um Utilizador Operacional. Ambos os fluxos de trabalho incorporam Funções do Azure para importar dados para SQL do Azure Base de Dados. Funções do Azure deve ser configurado pelo cliente através do portal do Azure para lidar com as tarefas de importação únicas aos requisitos de análise de cada cliente.

A Azure oferece uma variedade de serviços de reporte e análise para os clientes. Esta solução incorpora o Azure Machine Learning em conjunto com SQL do Azure Database para navegar rapidamente através de dados e fornecer resultados mais rápidos através de modelagem mais inteligente. A Azure Machine Learning aumenta as velocidades de consulta descobrindo novas relações entre conjuntos de dados. Uma vez que os dados foram treinados através de várias funções estatísticas, até 7 conjuntos de consultas adicionais (8 no total incluindo o servidor do cliente) podem ser sincronizados com os mesmos modelos tabulares para espalhar cargas de trabalho de consulta e reduzir os tempos de resposta.

Para análises e relatórios melhorados, SQL do Azure bases de dados podem ser configuradas com índices de lojas de colunas. Tanto o Azure Machine Learning como SQL do Azure bases de dados podem ser dimensionado para cima ou para baixo ou desligados completamente em resposta ao uso do cliente. Todo o tráfego SQL é encriptado com SSL através da inclusão de certificados auto-assinados. Como uma boa prática, a Azure recomenda a utilização de uma autoridade de certificados de confiança para uma maior segurança.

Uma vez que os dados são enviados para a Base de Dados SQL do Azure e treinados pela Azure Machine Learning, é digerido tanto pelo Utilizador Operacional como pelo SQL/Data Administração com o Power BI. O Power BI exibe dados intuitivamente e reúne informações em vários conjuntos de dados para obter uma maior perceção. O seu elevado grau de adaptabilidade e fácil integração com a SQL do Azure Database garante que os clientes podem configugá-lo para lidar com um vasto leque de cenários conforme exigido pelas suas necessidades empresariais.

A solução utiliza contas de Armazenamento Azure, que os clientes podem configurar para usar a Encriptação do Serviço de Armazenamento para manter a confidencialidade dos dados em repouso. O Azure armazena três cópias de dados dentro do datacenter selecionado de um cliente para resiliência. O armazenamento redundante geográfico garante que os dados serão replicados num centro de dados secundário a centenas de milhas de distância e novamente armazenados como três cópias dentro desse datacenter, impedindo que um evento adverso no centro de dados primário do cliente resulte numa perda de dados.

Para uma maior segurança, todos os recursos nesta solução são geridos como um grupo de recursos através do Azure Resource Manager. O controlo de acesso baseado em funções do Azure Ative Directory é utilizado para controlar o acesso a recursos implantados, incluindo as suas chaves em Azure Key Vault. A saúde do sistema é monitorizada através Centro de Segurança do Azure e Azure Monitor. Os clientes configuram ambos os serviços de monitorização para capturar registos e exibir a saúde do sistema num único painel de instrumentos facilmente navegável.

SQL do Azure Database é geralmente gerido através de SQL Server Management Studio (SSMS), que funciona a partir de uma máquina local configurada para aceder à Base de Dados SQL do Azure através de uma ligação VPN ou ExpressRoute segura. A Microsoft recomenda a configuração de uma ligação VPN ou ExpressRoute para gestão e importação de dados no grupo de recursos de arquitetura de referência.

Esta solução utiliza os seguintes serviços Azure. Os detalhes da arquitetura de implantação estão na secção de Arquitetura de Implantação .

• Application Insights
• Azure Active Directory
• Catálogo de Dados do Azure
• Azure Disk Encryption
• Azure Event Grid
• Funções do Azure
• Azure Key Vault
• Azure Machine Learning
• Monitor Azure (troncos)
• Centro de Segurança do Azure
• Base de Dados SQL do Azure
• Storage do Azure
• Rede Virtual do Azure
  • (1) /16 Rede
  • (2) /24 Redes
  • (2) Grupos de segurança da rede
• Dashboard do Power BI

Arquitetura de implantação

A secção seguinte detalha os elementos de implantação e implementação.

Azure Event Grid: Azure Event Grid permite que os clientes construam facilmente aplicações com arquiteturas baseadas em eventos. Os utilizadores selecionam o recurso Azure a que gostariam de subscrever e dar ao manipulador de eventos ou webhook um ponto final para enviar o evento para. Os clientes podem garantir pontos finais webhook adicionando parâmetros de consulta ao URL webhook ao criar uma Subscrição de Evento. Azure Event Grid suporta apenas pontos finais https webhook. Azure Event Grid permite que os clientes controlem o nível de acesso dado a diferentes utilizadores para fazer várias operações de gestão, como listar subscrições de eventos, criar novas e gerar chaves. Event Grid utiliza o controlo de acesso baseado em funções Azure.

Funções do Azure: Funções do Azure é um serviço de computação sem servidor que permite aos utilizadores executar código on-demand sem ter de provisões ou gerir explicitamente a infraestrutura. Utilize as Funções do Azure para executar um script ou fragmento de código em resposta a uma variedade de eventos.

Azure Machine Learning: Azure Machine Learning é uma técnica de ciência de dados que permite que os computadores utilizem dados existentes para prever comportamentos, resultados e tendências futuros.

Azure Catálogo de Dados: Catálogo de Dados torna as fontes de dados facilmente detetáveis e compreensíveis pelos utilizadores que gerem os dados. As fontes de dados comuns podem ser registadas, marcadas e procuradas por dados financeiros. Os dados permanecem na sua localização existente, mas uma cópia dos seus metadados é adicionada a Catálogo de Dados, juntamente com uma referência à localização da fonte de dados. Os metadados também são indexados para tornar cada origem de dados facilmente detetável através da pesquisa e compreensível para os utilizadores que a detetarem.

Rede virtual

A arquitetura define uma rede virtual privada com um espaço de endereço de 10.200.0.0/16.

Grupos de segurança da rede: Os grupos de segurança da rede contêm listas de controlo de acesso que permitem ou negam o tráfego dentro de uma rede virtual. Os grupos de segurança da rede podem ser utilizados para proteger o tráfego a um nível de sub-rede ou vm individual. Existem os seguintes grupos de segurança da rede:

• Um grupo de segurança de rede para o Ative Directory
• Um grupo de segurança de rede para a carga de trabalho

Cada um dos grupos de segurança da rede tem portas e protocolos específicos abertos para que a solução possa funcionar de forma segura e correta. Além disso, as seguintes configurações são ativadas para cada grupo de segurança de rede:

• Registos e eventos de diagnóstico são ativados e armazenados numa conta de armazenamento
• Os registos do Azure Monitor estão ligados aos registos de diagnóstico do grupo de segurança da rede

Sub-redes: Cada sub-rede está associada ao seu grupo de segurança de rede correspondente.

Dados em trânsito

O Azure encripta todas as comunicações de e para centros de dados Azure por padrão. Todas as transações para Azure Storage através do portal do Azure ocorrem via HTTPS.

Dados inativos

A arquitetura protege os dados em repouso através da encriptação, auditoria de bases de dados e outras medidas.

Armazenamento Azure: Para satisfazer dados encriptados nos requisitos de repouso, todo o Azure Storage utiliza encriptação do serviço de armazenamento. Isto ajuda a proteger e salvaguardar dados de apoio aos compromissos de segurança organizacionais e aos requisitos de conformidade definidos pela FFIEC.

Encriptação do disco Azure: A azure Disk Encryption aproveita a funcionalidade BitLocker do Windows para fornecer encriptação de volume para discos de dados. A solução integra-se com o Azure Key Vault para ajudar a controlar e gerir as chaves de encriptação do disco.

SQL do Azure Base de Dados: A SQL do Azure de bases de dados utiliza as seguintes medidas de segurança da base de dados:

• A autenticação e autorização do Ative Directory permite a gestão de identidade dos utilizadores da base de dados e outros serviços da Microsoft numa localização central.
• A auditoria da base de dados SQL rastreia os eventos da base de dados e escreve-os para um registo de auditoria numa conta de armazenamento Azure.
• SQL do Azure Database está configurado para utilizar encriptação de dados transparentes, que executa encriptação e desencriptação em tempo real da base de dados, cópias de segurança associadas e ficheiros de registo de transações para proteger a informação em repouso. A encriptação transparente de dados garante que os dados armazenados não foram sujeitos a acesso não autorizado.
• As regras de firewall impedem todo o acesso aos servidores de bases de dados até que sejam concedidas permissões adequadas. A firewall concede acesso a bases de dados com base no endereço IP de origem de cada pedido.
• A Deteção de Ameaças SQL permite a deteção e resposta a potenciais ameaças à medida que ocorrem, fornecendo alertas de segurança para atividades suspeitas de base de dados, potenciais vulnerabilidades, ataques de injeção de SQL e padrões de acesso a bases de dados anómalas.
• Colunas encriptadas garantem que os dados sensíveis nunca aparecem como texto simples dentro do sistema de base de dados. Depois de permitir a encriptação de dados, apenas as aplicações do cliente ou servidores de aplicações com acesso às teclas podem aceder a dados de texto simples.
• As Propriedades Estendidas podem ser usadas para descontinuar o tratamento de sujeitos de dados, uma vez que permite que os utilizadores adicione propriedades personalizadas a objetos de base de dados e marque dados como "Descontinuados" para suportar a lógica da aplicação para impedir o processamento de dados financeiros associados.
• A Segurança de Nível de Linha permite que os utilizadores definam políticas para restringir o acesso aos dados para descontinuar o processamento.
• Base de Dados SQL máscara de dados dinâmico limita a exposição sensível aos dados, mascarando os dados a utilizadores ou aplicações não privilegiados. A mascaragem dinâmica de dados pode automaticamente descobrir dados potencialmente sensíveis e sugerir as máscaras apropriadas a serem aplicadas. Isto ajuda a identificar e reduzir o acesso a dados de forma a não sair da base de dados através de acesso não autorizado. Os clientes são responsáveis por ajustar as definições dinâmicas de mascaramento de dados para aderir ao seu esquema de base de dados.

Gestão de identidades

As seguintes tecnologias fornecem capacidades para gerir o acesso aos dados no ambiente Azure:

• O Azure Ative Directory é o serviço de diretório e gestão de identidade baseado em multi-inquilinos da Microsoft. Todos os utilizadores para esta solução são criados no Azure Ative Directory, incluindo utilizadores que acedam à Base de Dados SQL do Azure.
• A autenticação da aplicação é realizada através do Diretório Ativo Azure. Para mais informações, consulte a integração de aplicações com o Azure Ative Directory. Além disso, a encriptação da coluna de base de dados utiliza o Azure Ative Directory para autenticar a aplicação para SQL do Azure Base de Dados. Para mais informações, consulte como proteger dados sensíveis na base de dados SQL do Azure.
• O controlo de acesso baseado em funções Azure permite que os administradores definam permissões de acesso de grãos finos para conceder apenas a quantidade de acesso que os utilizadores precisam para desempenhar os seus trabalhos. Em vez de dar a cada utilizador uma permissão sem restrições para os recursos do Azure, os administradores podem permitir apenas determinadas ações de acesso aos dados. O acesso à subscrição é limitado ao administrador de subscrição.
• Azure Ative Directory Privileged Identity Management permite aos clientes minimizar o número de utilizadores que têm acesso a determinadas informações. Os administradores podem usar Azure Ative Directory Privileged Identity Management para descobrir, restringir e monitorizar identidades privilegiadas e o seu acesso aos recursos. Esta funcionalidade também pode ser utilizada para impor o acesso administrativo a pedido e just-in-time quando necessário.
• A Azure Ative Directory Identity Protection deteta potenciais vulnerabilidades que afetam as identidades de uma organização, configura respostas automatizadas para detetar ações suspeitas relacionadas com as identidades de uma organização, e investiga incidentes suspeitos para tomar as medidas adequadas para resolvê-las.

Segurança

Gestão de segredos: A solução utiliza o Azure Key Vault para a gestão de chaves e segredos. O cofre de chave do Azure ajuda a salvaguardar as chaves criptográficas e os segredos utilizados pelas aplicações em nuvem e pelos serviços. As seguintes capacidades de Key Vault Azure ajudam os clientes a proteger e aceder a esses dados:

• As políticas avançadas de acesso são configuradas numa base de necessidade.
• Key Vault políticas de acesso são definidas com permissões mínimas necessárias para chaves e segredos.
• Todas as chaves e segredos Key Vault têm datas de validade.
• Todas as chaves em Key Vault estão protegidas por módulos de segurança de hardware especializados. O tipo chave é uma chave RSA protegida de 2048 bits HSM.
• A todos os utilizadores e identidades são concedidas permissões mínimas necessárias usando o controlo de acesso baseado em funções.
• Os registos de diagnóstico para Key Vault são ativados com um período de retenção de pelo menos 365 dias.
• As operações criptográficas permitidas para as chaves estão restritas às necessárias.

Centro de Segurança do Azure: Com Centro de Segurança do Azure, os clientes podem aplicar e gerir políticas de segurança centralmente através de cargas de trabalho, limitar a exposição a ameaças e detetar e responder a ataques. Além disso, Centro de Segurança do Azure acede às configurações existentes dos serviços Azure para fornecer recomendações de configuração e serviço para ajudar a melhorar a postura de segurança e proteger os dados.

Centro de Segurança do Azure usa uma variedade de capacidades de deteção para alertar os clientes de potenciais ataques direcionados para os seus ambientes. Estes alertas contêm informações valiosas sobre o que acionou o alerta, os recursos afetados e a origem do ataque. Centro de Segurança do Azure tem um conjunto de alertas de segurança predefinidos, que são desencadeados quando ocorre uma ameaça, ou atividade suspeita. As regras de alerta personalizados em Centro de Segurança do Azure permitem aos clientes definir novos alertas de segurança com base em dados que já são recolhidos do seu ambiente.

Centro de Segurança do Azure fornece alertas de segurança prioritários e incidentes, tornando mais simples para os clientes descobrir e abordar potenciais problemas de segurança. Um relatório de inteligência de ameaça é gerado para cada ameaça detetada para ajudar as equipas de resposta a incidentes na investigação e reparação de ameaças.

Registo e auditoria

Serviços Azure extensivamente log system e atividade do utilizador, bem como saúde do sistema:

• Registos de atividade:Os registos de atividade fornecem informações sobre as operações realizadas em recursos numa subscrição. Os registos de atividade podem ajudar a determinar o iniciador de uma operação, o tempo de ocorrência e o estado.
• Registos de diagnóstico: Os registos de diagnóstico incluem todos os registos emitidos por cada recurso. Estes registos incluem registos do sistema de eventos Windows, registos de armazenamento Azure, registos de auditoria Key Vault e Gateway de Aplicação acesso e registos de firewall. Todos os registos de diagnóstico escrevem para uma conta de armazenamento Azure centralizada e encriptada para arquivo. A retenção é configurável pelo utilizador, até 730 dias, para satisfazer os requisitos de retenção específicos da organização.

Registos do Monitor Azure: Estes registos estão consolidados nos registos do Monitor Azure para processamento, armazenamento e reporte de dashboard. Uma vez recolhidos, os dados são organizados em tabelas separadas para cada tipo de dados dentro dos espaços de trabalho do Log Analytics, o que permite que todos os dados sejam analisados em conjunto, independentemente da sua origem original. Além disso, Centro de Segurança do Azure integra-se com registos do Azure Monitor permitindo que os clientes utilizem consultas kusto para aceder aos seus dados de eventos de segurança e combiná-lo com dados de outros serviços.

As seguintes soluções de monitorização do Azure estão incluídas como parte desta arquitetura:

• Avaliação do Diretório Ativo: A solução Ative Directory Health Check avalia o risco e a saúde dos ambientes dos servidores num intervalo regular e fornece uma lista prioritária de recomendações específicas para a infraestrutura do servidor implantado.
• Avaliação SQL: A solução SQL Health Check avalia o risco e a saúde dos ambientes dos servidores num intervalo regular e fornece aos clientes uma lista prioritária de recomendações específicas para a infraestrutura de servidores implantados.
• Agente Saúde: A solução de Saúde do Agente informa quantos agentes estão destacados e a sua distribuição geográfica, bem como quantos agentes não respondem e o número de agentes que estão a enviar dados operacionais.
• Activity Log Analytics: A solução Activity Log Analytics ajuda na análise dos registos de atividade do Azure em todas as subscrições do Azure para um cliente.

Automatização do Azure: Automatização do Azure lojas, corre e gere livros. Nesta solução, os livros de execução ajudam a recolher registos da SQL do Azure Database. A solução Automation Controlo de Alterações permite aos clientes identificar facilmente as mudanças no ambiente.

Azure Monitor: O Azure Monitor ajuda os utilizadores a rastrear o desempenho, manter a segurança e identificar tendências, permitindo que as organizações auditem, criem alertas e arquivam dados, incluindo rastrear chamadas de API nos seus recursos Azure.

Application Insights: Application Insights é um serviço extensível de Gestão de Desempenho de Aplicações (APM) para desenvolvedores web em várias plataformas. Deteta anomalias de desempenho e inclui poderosas ferramentas de análise para ajudar a diagnosticar problemas e entender o que os utilizadores realmente fazem com a app. É projetado para ajudar os utilizadores a melhorar continuamente o desempenho e a usabilidade.

Modelo de ameaça

O diagrama de fluxo de dados para esta arquitetura de referência está disponível para download ou pode ser encontrado abaixo. Este modelo pode ajudar os clientes a compreender os pontos de risco potencial na infraestrutura do sistema ao fazer modificações.

Documentação de conformidade

O Azure Security and Compliance Blueprint – FFIEC Customer Responsibility Matrix lista todos os objetivos exigidos pela FFIEC. Esta matriz detalha se a implementação de cada objetivo é da responsabilidade da Microsoft, do cliente ou partilhada entre os dois.

O Azure Security and Compliance Blueprint – FFIEC Data Analytics Implementation Matrix fornece informações sobre as quais os objetivos do FFIEC são abordados pela arquitetura de análise de dados, incluindo descrições detalhadas de como a implementação satisfaz os requisitos de cada objetivo coberto.

Orientações e recomendações

VPN e ExpressRoute

Um túnel VPN seguro ou ExpressRoute precisa de ser configurado para estabelecer uma ligação segura aos recursos implantados como parte desta arquitetura de referência de análise de dados. Ao configurar adequadamente uma VPN ou ExpressRoute, os clientes podem adicionar uma camada de proteção para dados em trânsito.

Ao implementar um túnel VPN seguro com a Azure, pode ser criada uma ligação privada virtual entre uma rede no local e um Rede Virtual Azure. Esta ligação ocorre através da Internet e permite que os clientes "túnem" de forma segura dentro de uma ligação encriptada entre a rede do cliente e a Azure. A VPN local-a-local é uma tecnologia segura e madura que tem sido implementada por empresas de todos os tamanhos há décadas. O modo túnel IPsec é usado nesta opção como um mecanismo de encriptação.

Como o tráfego dentro do túnel VPN atravessa a Internet com uma VPN site-to-site, a Microsoft oferece outra opção de ligação ainda mais segura. Azure ExpressRoute é uma ligação WAN dedicada entre a Azure e um local no local ou um fornecedor de hospedagem exchange. Como as ligações ExpressRoute não passam pela Internet, estas ligações oferecem mais fiabilidade, velocidades mais rápidas, latências mais baixas e maior segurança do que as ligações típicas através da Internet. Além disso, uma vez que se trata de uma ligação direta do fornecedor de telecomunicações do cliente, os dados não viajam pela Internet e, por conseguinte, não estão expostos a ela.

Estão disponíveis as melhores práticas para a implementação de uma rede híbrida segura que alarga uma rede no local ao Azure.

Processo de extracção-transform-carga

A PolyBase pode carregar dados em SQL do Azure Base de Dados sem a necessidade de uma ferramenta separada de extrato, transformação, carga ou importação. A PolyBase permite o acesso aos dados através de consultas T-SQL. A pilha de inteligência e análise de negócios da Microsoft, bem como ferramentas de terceiros compatíveis com SQL Server, podem ser usadas com a PolyBase.

Configuração do Diretório Ativo Azure

O Azure Ative Directory é essencial para gerir a implantação e o fornecimento de acesso ao pessoal que interage com o meio ambiente. Um Windows Server Ative Directory existente pode ser integrado com o Azure Ative Directory em quatro cliques. Os clientes também podem ligar a infraestrutura de Diretório Ativo implantado (controladores de domínio) a um Azure Ative Directy existente, tornando a infraestrutura de Diretório Ativo implantada num subdomínio de uma floresta do Azure Ative Directory.

Disclaimer

• This document is for informational purposes only. A MICROSOFT NÃO TEM GARANTIAS, EXPRESS, IMPLÍCITAS OU ESTATUTÁRIAS, QUANTO À INFORMAÇÃO NESTE DOCUMENTO. Este documento é fornecido "as-is". As informações e opiniões expressas neste documento, incluindo URL e outras referências do site da Internet, podem ser alteradas sem aviso prévio. Os clientes que lêem este documento correm o risco de o utilizar.
• Este documento não fornece aos clientes quaisquer direitos legais sobre qualquer propriedade intelectual em qualquer produto ou soluções da Microsoft.
• Os clientes podem copiar e utilizar este documento para fins de referência interna.
• Algumas recomendações neste documento podem resultar em aumento do uso de dados, rede ou computação em Azure, e podem aumentar a licença Azure de um cliente ou custos de subscrição.
• Esta arquitetura destina-se a servir de base para que os clientes se adaptem às suas necessidades específicas e não devem ser utilizados como um ambiente de produção.
• Este documento é desenvolvido como uma referência e não deve ser usado para definir todos os meios através dos quais um cliente pode cumprir requisitos e regulamentos específicos de conformidade. Os clientes devem procurar apoio jurídico da sua organização sobre implementações aprovadas de clientes.