Requisitos de Segurança

1 Protocolo de segurança
2 Definições
3 Requisitos de Segurança: Exemplos de setup
- 3.1 Exemplo 1: Sem limite de caracteres
- 3.2 Exemplo 2⁣

Protocolo de segurança

Uso do certificado digital do ecossistema.
Atributo: UID (OID 0.9.2342.19200300.100.1.1): Software Statement ID gerado pelo Diretório do Open Finance Brasil (também conhecido como software_id ou “ID de declaração de software”).
Requisito: Software Statement ID = topic ID do setup da PoC.

Descrição: Consumidor apresenta certificado do ecossistema contendo o seu Software Statement ID. Camada de controle de acesso de rede verifica se o certificado apresentado é um certificado válido do OFB. PEP do Kafka verifica se o certificado apresentado possui acesso ao tópico requisitado

Será realizado setup de forma manual através dos dados distribuídos aos participantes via planilha

Definições

Deve-se evitar o uso de softwareStatmentId de produção na POC, o receptor de dados tem a liberdade para criar um novo SoftwareStatement.
Baseline Kafka, arquitetura de segurança de rede, fluxo de acessos e fluxo de monitoramento de segurança
1. Configuração de cifra TLS: TLS 1.3 (o conjunto 1.3 já inclui requisitos adicionais para o conjunto de cifras e são consideradas suficientes para a operação segura, alinhado com a Regulação)
2. Configuração de autenticação: certificado para MTLS BRCAC – padronizar pelo ACL ser realizado através da informação do UID contido no certificado
3. Configuração de autorização: uma vez autenticado, tem acesso ao tópico referente ao nome do tópico (software statement) da instituição receptora (Kafka ACL). OBS: o software statement ID não necessariamente precisa ser igual ao UID, uma vez que esta é uma configuração de preferência de escolha de certificado da receptora
4. Configurações de log: todos os itens de monitoramento devem ser garantidos (requisitos mínimos)
5. Configurações de JKS: script pronto de configuração padrão na área de colaboração (Git) que PODE ser utilizado a critério da instituição transmissora
Arquitetura de segurança de rede
1. ACL L3 para firewall

Requisitos de Segurança: Exemplos de setup

kafka-acls --bootstrap-server localhost:9092 \  
--command-config adminclient-configs.conf \  
--add \  
--allow-principal User: <CN>\  
--allow-host <host-1> \ opcional  
--allow-host <host-2> \ opcional  
--operation read \  
--topic <software_id> \  
--group <org_id>

Exemplo 1: Sem limite de caracteres

kafka-acls --bootstrap-server localhost:9092 \  
--command-config adminclient-configs.conf \  
--add \  
--allow-principal “User:CN=web.conftpp.directory.openbankingbrasil.org.br,UID=bc97b8f0-cae0-4f2f-9978-d93f0e56a833,2.5.4.97=#0c2a4f464242522d64373338346264302d383432662d343363352d626530322d396432623264356566633263,L=São Paulo,ST=SP,O=Chicago Advisory Partners,C=BR,2.5.4.5=#130e3433313432363636303030313937,1.3.6.1.4.1.311.60.2.1.3=#13024252,2.5.4.15=#0c1450726976617465204f7267616e697a6174696f6e “\  
--allow-host <host-1> \ opcional  
--allow-host <host-2> \ opcional  
--operation read \  
--topic “bc97b8f0-cae0-4f2f-9978-d93f0e56a833” \
--group “bc97b8f0-cae0-4f2f-9978-d93f0e56a833”

Exemplo 2⁣

Se houver customização do “ssl.principal.mapping.rules=RULE:^.UID=([^,]+).$/$1/, DEFAULT”, o comando pode ser simplificado para a forma abaixo:

kafka-acls --bootstrap-server localhost:9092 \  
--command-config adminclient-configs.conf \  
--add \  
--allow-principal “User:CN=web.conftpp.directory.openbankingbrasil.org.br,UID=bc97b8f0-cae0-4f2f-9978-d93f0e56a833,2.5.4.97=#0c2a4f464242522d64373338346264302d383432662d343363352d626530322d396432623264356566633263,L=São Paulo,ST=SP,O=Chicago Advisory Partners,C=BR,2.5.4.5=#130e3433313432363636303030313937,1.3.6.1.4.1.311.60.2.1.3=#13024252,2.5.4.15=#0c1450726976617465204f7267616e697a6174696f6e “\  
--allow-host <host-1> \ opcional  
--allow-host <host-2> \ opcional  
--operation read \  
--topic “bc97b8f0-cae0-4f2f-9978-d93f0e56a833” \  
--group “bc97b8f0-cae0-4f2f-9978-d93f0e56a833”

Draft - Área do Desenvolvedor