Protocolo de segurança
Uso do certificado digital do ecossistema.
Atributo: UID (OID 0.9.2342.19200300.100.1.1): Software Statement ID gerado pelo Diretório do Open Finance Brasil (também conhecido como software_id ou “ID de declaração de software”).
Requisito: Software Statement ID = topic ID do setup da PoC.
Descrição: Consumidor apresenta certificado do ecossistema contendo o seu Software Statement ID. Camada de controle de acesso de rede verifica se o certificado apresentado é um certificado válido do OFB. PEP do Kafka verifica se o certificado apresentado possui acesso ao tópico requisitado
Será realizado setup de forma manual através dos dados distribuídos aos participantes via planilha
Definições
Deve-se evitar o uso de softwareStatmentId de produção na POC, o receptor de dados tem a liberdade para criar um novo SoftwareStatement.
Baseline Kafka, arquitetura de segurança de rede, fluxo de acessos e fluxo de monitoramento de segurança
Configuração de cifra TLS: TLS 1.3 (o conjunto 1.3 já inclui requisitos adicionais para o conjunto de cifras e são consideradas suficientes para a operação segura, alinhado com a Regulação)
Configuração de autenticação: certificado para MTLS BRCAC – padronizar pelo ACL ser realizado através da informação do UID contido no certificado
Configuração de autorização: uma vez autenticado, tem acesso ao tópico referente ao nome do tópico (software statement) da instituição receptora (Kafka ACL). OBS: o software statement ID não necessariamente precisa ser igual ao UID, uma vez que esta é uma configuração de preferência de escolha de certificado da receptora
Configurações de log: todos os itens de monitoramento devem ser garantidos (requisitos mínimos)
Configurações de JKS: script pronto de configuração padrão na área de colaboração (Git) que PODE ser utilizado a critério da instituição transmissora
Arquitetura de segurança de rede
ACL L3 para firewall
Fluxo de Acessos
Fluxo de monitoramento de segurança
Requisitos de Segurança: Exemplos de setup
kafka-acls --bootstrap-server localhost:9092 \ --command-config adminclient-configs.conf \ --add \ --allow-principal User: <CN>\ --allow-host <host-1> \ opcional --allow-host <host-2> \ opcional --operation read \ --topic <software_id> \ --group <org_id>
Exemplo 1: Sem limite de caracteres
kafka-acls --bootstrap-server localhost:9092 \ --command-config adminclient-configs.conf \ --add \ --allow-principal “User:CN=web.conftpp.directory.openbankingbrasil.org.br,UID=bc97b8f0-cae0-4f2f-9978-d93f0e56a833,2.5.4.97=#0c2a4f464242522d64373338346264302d383432662d343363352d626530322d396432623264356566633263,L=São Paulo,ST=SP,O=Chicago Advisory Partners,C=BR,2.5.4.5=#130e3433313432363636303030313937,1.3.6.1.4.1.311.60.2.1.3=#13024252,2.5.4.15=#0c1450726976617465204f7267616e697a6174696f6e “\ --allow-host <host-1> \ opcional --allow-host <host-2> \ opcional --operation read \ --topic “bc97b8f0-cae0-4f2f-9978-d93f0e56a833” \ --group “bc97b8f0-cae0-4f2f-9978-d93f0e56a833”
Exemplo 2
Se houver customização do “ssl.principal.mapping.rules=RULE:^.UID=([^,]+).$/$1/, DEFAULT”, o comando pode ser simplificado para a forma abaixo:
kafka-acls --bootstrap-server localhost:9092 \ --command-config adminclient-configs.conf \ --add \ --allow-principal “User:CN=web.conftpp.directory.openbankingbrasil.org.br,UID=bc97b8f0-cae0-4f2f-9978-d93f0e56a833,2.5.4.97=#0c2a4f464242522d64373338346264302d383432662d343363352d626530322d396432623264356566633263,L=São Paulo,ST=SP,O=Chicago Advisory Partners,C=BR,2.5.4.5=#130e3433313432363636303030313937,1.3.6.1.4.1.311.60.2.1.3=#13024252,2.5.4.15=#0c1450726976617465204f7267616e697a6174696f6e “\ --allow-host <host-1> \ opcional --allow-host <host-2> \ opcional --operation read \ --topic “bc97b8f0-cae0-4f2f-9978-d93f0e56a833” \ --group “bc97b8f0-cae0-4f2f-9978-d93f0e56a833”