Requisitos de Segurança
Protocolo de segurança
Uso do certificado digital do ecossistema.
Atributo: UID (OID 0.9.2342.19200300.100.1.1): Software Statement ID gerado pelo Diretório do Open Finance Brasil (também conhecido como software_id ou “ID de declaração de software”).
Requisito: Software Statement ID = topic ID do setup da PoC.
Descrição: Consumidor apresenta certificado do ecossistema contendo o seu Software Statement ID. Camada de controle de acesso de rede verifica se o certificado apresentado é um certificado válido do OFB. PEP do Kafka verifica se o certificado apresentado possui acesso ao tópico requisitado
Será realizado setup de forma manual através dos dados distribuídos aos participantes via planilha
Definições
Deve-se evitar o uso de softwareStatmentId de produção na POC, o receptor de dados tem a liberdade para criar um novo SoftwareStatement.
Baseline Kafka, arquitetura de segurança de rede, fluxo de acessos e fluxo de monitoramento de segurança
Configuração de cifra TLS: TLS 1.3 (o conjunto 1.3 já inclui requisitos adicionais para o conjunto de cifras e são consideradas suficientes para a operação segura, alinhado com a Regulação)
Configuração de autenticação: certificado para MTLS BRCAC – padronizar pelo ACL ser realizado através da informação do UID contido no certificado
Configuração de autorização: uma vez autenticado, tem acesso ao tópico referente ao nome do tópico (software statement) da instituição receptora (Kafka ACL). OBS: o software statement ID não necessariamente precisa ser igual ao UID, uma vez que esta é uma configuração de preferência de escolha de certificado da receptora
Configurações de log: todos os itens de monitoramento devem ser garantidos (requisitos mínimos)
Configurações de JKS: script pronto de configuração padrão na área de colaboração (Git) que PODE ser utilizado a critério da instituição transmissora
Arquitetura de segurança de rede
ACL L3 para firewall