金融行业上云的最佳路线图黄德滨亚马逊AWS云计算合作伙伴解决方案架构师金融行业趋势以客户为中心提供更个性化服务和更好的客户体验多渠道的客户互动,服务和交互从大量数据中提取价值洞察市场商机市场竞争激励业务创新互联网+和新技术的飞速发展要求银行与时俱进,业务模式不断革新新兴互联网金融带来冲击和挑战增加灵活性,加快走向市场步伐符合监管/合规的要求以更好的降低风险AWS 如何助力金融行业成长高性能计算大数据分析Web 和移动应用研发测试环境备份与灾备✓内容分发✓客户体验✓洞察市场✓合规与监管✓快速分析,实现价值✓金融数据建模和场景模拟✓风险分析✓助力IT 转型✓提升IT 项目递交的灵活性与速度,更快满足客户需求✓更短的备份与恢复时间✓易于灾备测试国内某知名券商一国内某知名券商二AWS被全球金融客户认可并采用AWS 基础服务计算存储数据库网络AWS 全球基础设施区域可用区边缘节点客户端数据加密服务器端数据加密网络流量保护平台,应用,访问控制管理操作系统, 网络和防火墙配置客户的应用和内容AWS 安全责任分担模型AWS 负责管理的云安全客户负责管理的云安全/compliance/shared-responsibility-model/客户数据中心的物理安全•Amazon 多年来一直在构建大型数据中心•重要属性:–非描述性设施–耐用的周边控制–严格控制的物理访问–多重身份认证•基于需要的受控访问权限•所有访问均被记录并经过审查•责任分离:–具有实地访问权限的员工没有逻辑特权专注于企业信息安全与合规AWS广泛的安全认证AWS CloudTrailAWS Config Key Management ServiceVirtual PrivateCloudAWS Service CatalogIAM CloudHSM 针对安全与合规的服务NEWAWS 北京区Web 层Web 层数据库层实现安全混合架构—VPC 和专线直连客户数据中心应用层应用层数据库层专线直联…金融行业应用上云后,安全工作的演进云上安全原来和现在从:到:人工交互界面探查运维安全的智能分析UX API安全智能分析探查工具Agents运维人工交互界面在AWS云上客户的安全责任客户数据应用认证资产管理OS网络防火墙客户端加密服务端加密网络流量保护计算存储网络AWS全球基础架构(区、可用区和边缘站点)AWS: Security of the Cloud 客户: Security in the Cloud… 但是传统的技术已经落后客户数据应用认证资产管理OS网络防火墙客户端加密服务器加密网络流量保护网络设备基于主机的代理程序基于IP的扫描日志分析数据保护和加密人工审计这些技术没有完全使用到云的价值…以主机为中心的安全策略在AWS云中不会成功只保护主机而忽略服务是非常错误的你更为重要的数据经常是在S3、Glacier,、RDS,、Redshift和其他服务中应用没有很好的扩展在不同的级别扩展下我需要什么样的资源?… 但是,不要使用人工进行审计!新的技术堆栈这部分没有变化这一部分变化较大与云集成的AgentAPI驱动的安全API驱动的安全API驱动的安全API驱动的安全+ AWS这里都是AWS…为什么API那么重要?•强大–甚至有些接口只能通过API •快速–亚秒级读取和操作•精确–可以定义整个基础架构•演进–持续提升(感谢, AWS!)•统一–在不同的组件中提供一致性•自动–让你拥有非常非常酷的工具在云中的安全行为意味着…发现消费适应DevelopTestAssessPushAssessObserve Continuous AssesmentInnovateSecurity + Maturity = DevSecOps持续安全开发•集成安全的组件•在开发应用时就要考虑可能被攻击•规范相关测试•实施自动化安全测试•快速失败探测提升应用稳定性部署•堆栈要有备份•反馈要迅速让你变得更为强大--DevSecOpsOPSSECDEV 应用安全•安全即代码•测试自服务•红蓝队•联动执行•分析和透视•探测和渗透性测试•事件响应•调查•取证用安全矩阵控制帐号?On-PremisesPartialOn-PremisesOutsourced w/ NoIndemnificationOutsourced w/PartialIndemnificationOutsourced w/ FullIndemnificationWho is responsible?INTERNAL You You You You + Partner PartnerPARTNERSWhich minimal controls are needed?Physical Security, SecureHandling, DisposalFile Or Object EncryptionFor Sensitive Data,Physical Security, SecureHandling, DisposalFile Or Object Encryption ForSensitive Data, Partner Security,SOC AttestationFile Or Object EncryptionFor Sensitive Data,Partner Security, SOCAttestationPartner Security, SOCAttestationWhere does data transit and get stored?Company “Owned” DataCenter Or Co-locationAny Compute & Transit,Data Store On PremisesPublic Cloud,Free ServicesSaaS, Private Cloud,Public Cloud, FreeServices,Managed Services, SaaS,Private CloudWhat are the innovation benefits?Reduced Latency, SearchSensitive DataSpeed, Reduced Friction,Search Sensitive DataSpeed, Reduced Friction,Evolving Patterns, CommunitySpeed, Reduced Friction,Evolving Patterns,CommunitySpeed, Reduced Friction,IndemnificationWhat are the potential risks?SQL Injection, InternalThreats, Mistakes,Phishing, IncreasedFriction, SlowLatency, SQL Injection,Internal Threats,Mistakes,Phishing,Increased Friction, SlowInability to Search SensitiveData, SQL Injection, InternalThreats, Mistakes,Phishing,Unknown Gov’t Requests,Reduced Financial ResponsibilityInability to SearchSensitive Data, SQLInjection, InternalThreats, Mistakes,Phishing, UnknownGov’t RequestsInability to SearchSensitive Data, SQLInjection, Internal Threats,Mistakes,Phishing,Unknown Gov’t Requests或者直接用代码控制?{“Version”: “2015-05-09”,“Statement”: {“Effect”: “Allow”,“Action”: [“iam:ChangePassword”,“iam:GetAccountPasswordPolicy”],“Resource”: “*”}}再或者在整个堆栈内预防安全事件的发生?或者更为简单快速的沟通?发现评估控制沟通或者干脆将安全变成下面的代码?Begin(iam.client.list_role_policies(:role_name=> role_)[:policy_names]\-roldedb.list_policies(role)).each do |policy|log.warn("Deleting Policy\"#{policy}\", which is not part of the approved baseline.") if policydiff("{}",URI.decode(iam.client.get_role_policy(\:role_name=> role,:policy_name=> policy)[:policy_document]),{:argv=> ARGV, :diff => options.diff}) end options.dryrun? nil : \iam.client.delete_role_policy(:role_name=> role,:policy_name=> policy)Account Grade: B Heal Account?THANK YOU。
