中国CITIC銀行のネットワークセキュリティ戦略のためのビジュアル管理プラットフォームの構築実践

タイトル：実践丨銀行全体の集中的な運用保守を推進し、業務のデジタル変革を可能にする――中国中信銀行のネットワークセキュリティ戦略の視覚的管理プラットフォーム構築の実践

出典: 金融電子化

著者: Liu Xiaona、Xu Yuanyuan、Ren Zijian、Song Yihua、中国中信銀行

IT 運用保守システムは、IT システムの有効性を保証する重要な要素です。近年、中信銀行は「新技術主導、価値重視」という技術革新理念を堅持し、銀行のIT運用・保守システムを集約的、自動化、インテリジェント化の方向へと変革することを積極的に推進し、ITシステムの安全性、安定性、俊敏性、効率性を継続的に確保し、ITシステムのサポート効率を最大化し、業務運営の革新と変革を推進してきました。

ファイアウォールのアクセス制御ポリシーの変更管理は、運用保守作業の重要な部分であり、ネットワーク運用保守部門の全体的な作業負荷の 30% 以上を占めています。変更作業の効率性と有効性は、銀行業務の俊敏性とセキュリティにも制限を与えます。これは、CITIC銀行の集中的な運用・保守システムの構築において解決しなければならない重要かつ困難な問題です。

銀行の集中的な運用・保守改革の背景と考え方

CITIC銀行が集中的な運用・保守を実施する前は、本部と支店がそれぞれ独自に運用・保守業務を行っており、能力にばらつきがあり、ベンダーへの依存度も高かったため、銀行全体の総合的な計画と統一的な管理を実現することが困難でした。 「運用保守の孤立」は長い間存在しており、運用保守部門は常に比較的人手が不足しており、セキュリティとコンプライアンスは困難でリスクがありました。

本社の運用・保守能力の強化に伴い、クラウドプラットフォームに代表されるさまざまな先進技術やツールの導入が急速に進み、データセンターのサービス能力の成熟度は着実に向上しています。本部・支店運営保守部門の業務効率と有効性を総合的に向上させるため、本部では集中的な運営保守業務を積極的に推進し、コンピュータ室、システム、ネットワーク、プロセス、運用、コンプライアンス、セキュリティの7つの側面で全面的な構築を行い、銀行全体の統合運営保守モデルを構築しています。運用・保守業務が直面する問題を根本的に解決し、銀行の技術変革を支援します。

統一戦略管理は解決すべき問題となる

情報セキュリティ管理システムの継続的な改善と、関連規制機関のネットワークセキュリティ保護要件の継続的な改善に伴い、CITIC 銀行は内部と外部のネットワーク領域の境界に多数のファイアウォール デバイスを導入しました。厳格なネットワーク アクセス制御ポリシーを設定することで、ネットワーク セキュリティ ドメインの分割と分離を実現し、ネットワーク レベルで最小権限の原則を実装します。

ネットワークアクセス制御戦略は、CITIC銀行の多層・立体的な情報セキュリティ保護システムの重要な基盤ですが、実際の運用と保守には多くの課題があります。これらの問題は、集中的な運用および保守モデルではより顕著になります。

1. ネットワークアクセス制御戦略の運用と保守の量が多い

本社と支社には数百のファイアウォールがあり、ポリシーの総数は100万を超えます。関連する構成はネットワーク管理者によって完全に手動で記述されており、ポリシーは頻繁に変更されるため、日々の変更に大きな作業負荷がかかります。 2018 年および 2019 年上半期のネットワーク アクセス制御ポリシーの変更件数は 5,000 件を超え、平均すると週あたり 70 件を超えました。ポリシー変更の作業負荷は、ネットワーク運用保守部門全体の作業負荷の 30% 以上を占めています。

2. ネットワークアクセス制御ポリシーの公開効率が低い

ファイアウォール間のネットワーク アクセス制御ポリシーは相関性が高く、構成が複雑で、変更手順の準備に長い時間を要するため、ポリシー変更サイクルは 3 ～ 5 営業日となり、OKR インジケーターのオンライン サイクルの要件を満たすことができません。集中的な運用保守モデルの進化に伴い、本社の管理負荷は飛躍的に増加し、現在の手動モデルでは集中的な運用保守をサポートできなくなります。

3. ネットワークアクセス制御ポリシーのコンプライアンスリスクが高い

国家、業界の規制機関、銀行業務など、複数のレベルでのネットワーク セキュリティの要件が高まっています。ネットワーク アクセス制御戦略は、ネットワーク セキュリティ防御システムの重要な基盤であり、ネットワーク接続性とネットワーク セキュリティにも関連しています。ネットワーク セキュリティ レベル保護 2.0 標準には、ネットワーク アクセス制御戦略の集中管理と洗練された管理に関する明確な要件があります。

CITIC 銀行には多数のネットワーク アクセス制御ポリシーがあり、それらは頻繁に変更され、分散的に管理されています。ポリシー実装の有効性の評価、セキュリティリスク評価、コンプライアンス監査は非常に困難です。体系的かつ自動化された管理方法の欠如は、セキュリティ管理レベルのさらなる向上につながりません。

ネットワークセキュリティ戦略可視化プラットフォーム構築の実践

1. 建設目的

2019年、中国中信銀行は、集中的な運用と保守を総合的に推進する文脈において、本店と37支店を対象にサイバーセキュリティ戦略可視化管理プラットフォーム構築プロジェクトを立ち上げ、主な目標は以下のとおりです。

（１）ファイアウォール、ルータ、レイヤ３スイッチ、ロードバランサなど、本社・支店のネットワーク接続・アクセス制御機器を一元管理する。このプラットフォームは 10,000 台以上のデバイスを管理し、水平方向のパフォーマンス拡張をサポートします。既存のネットワークで使用されているすべてのデバイス ブランドおよびモデルと互換性があり、業界の主流ブランド デバイスの迅速な拡張と適応をサポートします。

（２）既存のネットワークアクセス制御ポリシー変更プロセスを最適化し、プロセス全体を自動化することで、ポリシー変更の配信効率を向上させ、新規ビジネスの立ち上げやネットワーク変更の俊敏性要件に対応します。

（３）ポリシーリスクルールとセキュリティコンプライアンスベースラインの設定をサポートし、ネットワーク全体にわたる既存のネットワークアクセス制御ポリシーの定期的な検査と監査を実施し、問題のあるポリシーを迅速に特定し、対応する廃棄提案を提供します。ポリシー変更プロセスでは、新しいポリシーの自動リスク評価をサポートし、直感的なレポートの形でセキュリティ管理部門の承認作業をサポートし、ネットワーク アクセス制御ポリシーが継続的に安全で、準拠し、制御可能であることを保証します。

2. 全体的なアーキテクチャ

プラットフォーム全体はモジュール式の階層構造を採用しており、データ処理、ベースライン モデリング、管理アプリケーションの 3 つのレベルに分かれています。各レイヤーには複数の機能モジュールが含まれています。プラットフォームの各機能モジュールは、外部への API インターフェースをカプセル化し、呼び出しとビジネス オーケストレーションを柔軟に受け入れます。銀行の集中運用保守システムの大規模統合を実現します。 （下の写真をご覧ください）

図: ネットワークセキュリティポリシー可視化管理プラットフォームのアーキテクチャ図

データ処理層は、主にポリシー構成データの標準化された南北変換を担当します。ノースバウンドポリシー構成データの収集と分析が実現されます。収集方法は、SSH 直接収集と CMDB 同期をサポートします。さまざまなブランドの機器の構成解析プラグインを通じて、ネットワーク全体の異なる構文を持つポリシー構成ファイルが、統一された標準のポリシー データ表現形式に解析されます。同時に、IP サブネット、ルーティング、NAT、およびパス分析に関連するその他のデータが解析されます。サウスバウンドの動作メカニズムはノースバウンドの動作メカニズムと逆であり、標準ポリシー構成データを、オンデマンドでさまざまなタイプ、ブランド、モデルのデバイス用の構成スクリプトに変換できます。統一されたコンプライアンスを確保するために、設定スクリプトの生成は事前に設定された仕様に従って実行されます。

ベースライン モデリング レイヤーはプラットフォームの中核であり、主にポリシー データの計算とコンプライアンス ベースラインの設定を完了し、上位レベルのモジュール呼び出しをサポートしてさまざまなポリシー管理アプリケーションを完了します。ポリシー分析モジュールは、ポリシールール間の競合と包含関係を 1 つずつ計算し、ポリシーの問題を分析します。トポロジモデリングおよびセキュリティドメイン管理モジュールは、主にグローバルエンドツーエンドネットワーク論理パスとセキュリティアクセス制御パスのシミュレーションを実現し、セキュリティドメイントポロジを生成します。ドメイン間ベースラインおよびポリシーリスクルールモジュールは、関連する管理要件に従って事前設定されたポリシーリスクルールをサポートし、上位レベルモジュールのリスク評価アプリケーションをサポートします。

管理アプリケーション層は、運用保守業務の観点から、コア層の計算結果を呼び出したり、関連するベースラインルールを引用したりして、さまざまなポリシー管理アプリをカプセル化し、特定のポリシー管理タスクを完了します。ポリシーコンプライアンスチェックモジュールは、主にジャンクポリシー、ルーズポリシー、リスクポリシーの検査を完了し、ポリシーコンプライアンスチェックレポートを出力します。セキュリティ トポロジ モジュールは、グローバルな視覚的なトポロジ表示を提供し、Baidu マップ モードでエンドツーエンドの安全なアクセス パス クエリをサポートします。これは、ネットワークのトラブルシューティングやセキュリティ インシデントの分析に使用できます。ネットワークエクスポージャー分析モジュールは、ネットワーク全体の視点に基づいてネットワークアクセス制御ポリシーの設定効果を定量的に評価し、ネットワーク層のエクスポージャーリスクを収束させ、ネットワークセキュリティインフラストラクチャを最適化するために使用できます。ポリシーの全プロセス自動変更管理モジュールは、ビジネスプロセスに応じてパスシミュレーション、ポリシーチェック、リスク分析、構成スクリプト生成などのプラットフォーム機能を接続して、ポリシー変更プロセス全体の自動化と可視化を実現します。

3. 効果のまとめ

2019年11月に正式リリースされて以来、合計13,000台以上の本社・支店端末を管理してきました。ネットワーク アクセス制御ポリシーの変更作業により、完全なプロセス自動化とサービス指向が実現しました。変更プロセスサイクルは、当初の 3 ～ 5 営業日から 1 日に短縮され、迅速な条件でいつでも提供できるようになりました。同時に、人材の4分の3を他事業のイノベーションに投入し、「人を使ってシステムを開発し、システムを使ってシステムを維持する」というIT運用保守のコンセプトを真に実現しました。 CITIC銀行の戦略的運営・保守業務は、最初に「4つの現代化」段階に入った。

集中型デバイス管理。これにより、銀行の異種ブランドのファイアウォール デバイスとルーター、3 層スイッチ、負荷分散デバイスの統合管理が実現され、グローバル IP ネットワーク セグメント資産の動的な台帳、ネットワーク アクセス制御ポリシーの標準リスト、NAT 変換関係データベース、およびマルチレベルの視覚的なセキュリティ トポロジ ビューが形成されます。これらの点は、ネットワークの運用と保守、およびネットワーク セキュリティの両方にとって大きな価値があります。

ポリシー変更の自動化。ビジネス アクセス制御ポリシーの有効化の必要性を自動的に分析し、ビジネス パスの有効化に関連する本社/支社のファイアウォール デバイスやその他のネットワーク アクセス制御デバイスをインテリジェントに特定し、セキュリティ リスク分析と構成スクリプトの生成を自動的に実行し、有効化の結果を自動的に検証します。ポリシー変更作業の精度は 100% に達し、ポリシー変更の実施効率は 300% 向上しました。

サービス指向の管理プラットフォーム。管理プラットフォームは、サービスプロセスプラットフォーム、統合開発運用プラットフォームとシームレスに統合されており、ビジネスパスのセルフサービス照会やポリシー変更作業指示のセルフサービス申請がセルフサービス方式で実現されます。変更プロセスと結果が視覚的に返され、「サービスとしてのポリシー変更」を実現しながらポリシー変更プロセスのリエンジニアリングが完了します。

安全性とコンプライアンスが体系化されています。銀行のネットワーク アクセス制御戦略の統合されたライフサイクル全体の管理を実現します。本社の関連セキュリティ仕様は、ルールの形で管理プラットフォームに事前に設定され、統一されたベースラインシステムを確立します。銀行のネットワーク アクセス制御戦略は標準化されており、統一された標準に基づいて管理および監査されているため、戦略的なセキュリティとコンプライアンスの作業がより効率的、客観的、持続可能なものになっています。