简化您的审计流程
您永远不知道下一次审计何时开始。 一旦发生这种情况,您可能会损失一名全职工程师长达六个月的时间和精力,他们将不得不进行必要的研究和合规证明工作。
不幸的是,在现实世界中,有很多案例表明美国货币监理署可以对组织进行罚款,正如他们最近对一家美国大型银行处以 8500 万美元的罚款。 他们在研究结果中引用了:
-
该银行未能实施并维持与其规模、复杂性和风险状况相称的有效合规风险管理计划和有效的信息技术风险管理计划。
遵守治理、风险和合规标准可能很难,但它不应该阻止您实现关键业务目标。 借助 F5,您可以简化审计流程,而这首先要拥有成熟的网络安全。
图 1: 该图突出显示了实现成熟网络安全的关键组件,这是合规性的关键因素。
主要特点
详细了解审计风险向量
小问题可能会被隐藏起来,直到为时已晚。 当这种情况发生时,您的审计人员已经处以高额罚款或分配繁琐的合规证明工作。 通过将应用整体可视化,您可以在问题变得更严重之前快速找到并隔离或解决问题,无论问题隐藏在哪里。
开箱即用、合规解决方案
审计人员期望金融服务机构的网络成熟度更高。 检查合规性框通常是不够的。 F5 解决方案旨在提高网络成熟度,给审计人员留下深刻印象,从而最大限度地减少审计造成的摩擦和压力。
F5 经过行业验证的支持
F5 经过行业验证的支持可以指导您创建所需的关键标准和程序,以便您的组织为各种类型的审计做好最佳准备。 我们还可以陪同您参加审计员会议,以帮助更深入地探讨合规主题。
合规性不仅仅是一个复选框
为了有效地简化审计流程,您需要积极主动。 正确的方法和应用解决方案至关重要。 F5 拥有广泛的产品和服务可以提供帮助。
产品 |
他们如何提供帮助 |
| BIG-IP 访问策略管理器 | 访问控制、SSL VPN |
| BIG-IP 高级防火墙管理器 | 防火墙控制、分段、访问 |
| BIG-IPapplication安全管理器/Advanced WAF(API 安全 - 新一代 WAF)® | application安全性、漏洞(WAF 是 PCI DSS 合规性的强制性要求) |
| BIG-IQ Centralized Management | 管理平台、配置管理、遥测、日志记录 |
| 云服务 | DNS、DNS 负载均衡器、Essential App Protect——为监管者和审计者提供安全控制、分析和可视性、经验和支持。 |
| BIG-IP DNS | DNS 安全(容易受到攻击) |
| NGINX 控制器 | NGINX Ingress Controller 是针对 Kubernetes 和容器化环境中的云原生应用的最佳流量管理解决方案。 |
| NGINX Plus | 访问、日志记录、WAF |
| 形状 | 欺诈预防、机器人保护、拒绝/欺骗选项 |
| Silverline | SOCS、DDoS 缓解、应用安全、机器人保护、配置管理(WAF 是 PCI DSS 合规性的强制性要求) |
| SSL 协调器 | 可见性、大规模 SSL 解密 |
| 安全网关 | Web网关、外部访问、数据泄露 |
标准和程序的制定与管理
F5 久经行业考验的专家可以指导您创建所需的关键标准和程序,以便您的组织做好应对各种类型审计的最佳准备。 如果不高度重视合规性和持续警惕,组织通常会无法满足关键法规和合规标准,例如支付卡行业数据安全标准 (PCI DSS) 验证流程。
不断发展的application方法是关键
尝试使用传统基础设施构建和交付现代、便捷的应用会带来挑战和限制,尤其是在考虑合规性要求时。 随着机构在数字化转型方面不断进步,灵活、可扩展的企业应用架构 (EAA) 可以帮助推动一致性和协调性,以支持大规模成果——这是满足对应用安全性、性能和可靠性的期望的关键要求。
不断发展的 EAA 方法将创新工作与业务战略相结合,并支持轻松集成新兴技术,以帮助组织保持敏捷。 有了合适的 EAA,开发人员能够更好地、快速、安全地交付现代应用,无论位置或设备如何,并且符合标准和法规。
步骤 1: 使 EAA 与业务目标保持一致,并确定创新、敏捷性和风险之间的适当平衡。
第 2 步: 进行应用盘点。 考虑企业组合中的所有应用。
步骤3: 评估投资组合中每个应用的安全风险并分配适当的解决方案。 一些示例包括:
- 按需要对硬件和软件进行 FIPS 认证,以满足标准和法规
- Web 应用程序和 API 保护,以防范现有和新出现的 OWASP 威胁
- 通过多个检查设备进行动态、基于策略的解密、加密和流量控制的 SSL 编排
步骤4: 定义应用类别并指定每个应用程序所需的应用服务。
步骤5: 设置应用部署和管理的参数。 其中包括:
- 了解部署选项
- 评估相关成本、消费模式和合规性/认证概况
步骤6: 分配角色和职责。 您需要:
- 明确谁负责 EAA 内的每个组件,包括安全。
- 认识到责任可能在于个人贡献者、部门或跨职能委员会。
步骤7: 在整个组织内实施 EAA 方法来优化安全性。 其中包括:
- 利用用户访问控制或代码漏洞扫描等自动化机制
- 通过员工培训和沟通让组织参与进来
步骤8: 与 F5 专家合作,确保您实现持续的网络成熟度。
在制定标准和程序治理时应分配的关键角色
配置合规性团队负责人
配置管理可能难以实施,这就是为什么必须指定一个负责人。 有助于维护配置标准并最大限度地减少配置漂移的自动化工具包括:
- 声明式入职
- AS3
- 遥测流
- 云形成模板
企业应用架构团队负责人
如果没有人监督这一举措的进展和优先顺序,这一关键功能将会失去意义。 如果没有这个专门的角色,整个组织的标准也会受到影响。
审计所有者
持续了解关键审计主题对于每次审计都至关重要。 每个团队都需要一位拥有 F5 解决方案的团队负责人,并了解他们如何利用来自应用和网络的深度数据来提供快速解决审计相关问题所需的见解。
F5 提供的以应用程序为中心的共享仪表板让您的网络、开发和安全团队能够访问他们需要的数据,同时支持协作解决问题。
图 2: 一目了然的应用详细信息——快速查看特定于应用程序的拓扑、运行状况、见解和事件详细信息。
有了 F5,您在下一次审计过程中就不再孤单。 无论下次审计师会议的结果如何,请我们的专家帮助您更深入地探讨合规性主题。
F5 可帮助:
- 发现加密威胁
- 提供有关访问控制的详细信息,以更好地管理特权用户访问
- 定制可导出的报告以满足特定的审计要求
- 提供有关安全控制的警告
结论
审计过程可能非常耗时且紧张。 金融服务员工永远不知道下一次审计何时开始,相关工作通常需要一份全职工作,而这份工作很少有资金支持。 如果没有正确的解决方案和支持,审计可能会持续长达六个月,从而导致补救工作和另一次审计。
F5 在简化金融服务机构的审计流程方面有着良好的业绩。 我们的解决方案旨在最大限度地减少审计造成的摩擦和压力。
要了解更多信息,请探索F5 银行和金融服务解决方案或联系您的 F5 代表。