A single page security architecture Top down approach
By Admin
•
November 16, 2025
┌─────────────────────────────────────────────────────────────────────────────┐
│ BUSINESS & RISK GOVERNANCE │
│ Board • CISO • Risk Committee • Compliance • Audit │
│ Regulations: PCI-DSS, SOX, GLBA, FFIEC, SOC2, NIST 800-53 │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ SECURITY STRATEGY & POLICIES │
│ Enterprise security policies • Standards • Procedures │
│ Acceptable Use • Data Classification • Access Control │
│ Incident Response • Vendor Risk • Change Management │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ IDENTITY, ACCESS & TRUST MODEL │
│ Identity Provider (OIDC/SAML) • MFA • SSO │
│ Privileged Access (PAM) • IGA • RBAC/ABAC │
│ Zero Trust: verify identity, device, context │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ NETWORK & PERIMETER SECURITY │
│ Zero-Trust Segmentation • Firewalls • WAF • DDoS │
│ API Gateway • SWG • VPN/ZTNA │
│ East-West traffic controls │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ APPLICATION SECURITY │
│ Core Banking • Payments • Mobile Banking │
│ Secure SDLC • SAST/DAST/SCA • Threat Modeling (STRIDE) │
│ Secrets Management • API AuthZ/AuthN │
│ Microservices / Container Security │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ DATA SECURITY │
│ PII/PCI segmentation • Data classification │
│ Tokenization • Masking • Encryption (KMS/HSM) │
│ DLP • Database Access Monitoring • Immutable logs │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ CLOUD & INFRASTRUCTURE SECURITY │
│ CSPM • IaC Scanning • Guardrails • Multi-account governance │
│ OS hardening • K8s security • Endpoint protection │
│ Backup/DR • Key rotation │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ THREAT DETECTION & RESPONSE OPERATIONS │
│ SIEM (Splunk/QRadar) • EDR/XDR • UEBA • SOAR automation │
│ Fraud detection system • Threat intel (MITRE, FS-ISAC) │
│ 24/7 SOC • Incident Response playbooks │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ LOGGING, AUDIT & CONTINUOUS MONITORING │
│ CloudTrail • Syslogs • API logs • Transaction logging │
│ Continuous compliance (PCI/SOX/GLBA) │
│ SLA/SLO tracking • Evidence collection │
└─────────────────────────────────────────────────────────────────────────────┘