Security Architecture¶
Zero Trust Access Model¶
┌──────────────────────────────────────────────────────────────────────────────────┐
│ MULTI-CLOUD ZERO TRUST ARCHITECTURE │
├──────────────────────────────────────────────────────────────────────────────────┤
│ │
│ USER IDENTITY & DEVICE POSTURE │
│ ┌────────────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │
│ │ │ Cisco Duo │ │ Azure AD │ │ ISE (802.1X) │ │ │
│ │ │ (MFA) │◄────────┤ (SSO) │◄────────┤ (Device │ │ │
│ │ │ │ SAML │ │ RADIUS │ Profiling) │ │ │
│ │ └──────┬───────┘ └──────┬───────┘ └──────┬───────┘ │ │
│ │ │ │ │ │ │
│ │ └────────────────────────┼────────────────────────┘ │ │
│ │ │ │ │
│ │ UNIFIED IDENTITY │ │
│ │ user@abhavtech.com authenticated ✓ │ │
│ │ device health verified ✓ │ │
│ │ MFA passed ✓ │ │
│ │ │ │
│ └────────────────────────────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ACCESS POLICY ENGINE │
│ ┌────────────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ IF (user.role == "contact-center-agent") AND │ │
│ │ (device.type == "corporate-laptop") AND │ │
│ │ (device.compliance == "compliant") AND │ │
│ │ (mfa.passed == true) │ │
│ │ THEN │ │
│ │ ALLOW access to: │ │
│ │ • WxCC Agent Desktop (cloud) │ │
│ │ • GCP Vertex AI Dashboard (read-only) │ │
│ │ • Salesforce CRM │ │
│ │ ASSIGN SGT: 20 (Contact-Center-Agent) │ │
│ │ │ │
│ └────────────────────────────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ NETWORK SEGMENTATION │
│ ┌────────────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ SGT-20 (Contact-Center-Agent) can access: │ │
│ │ ───────────────────────────────────────────────────────────────────── │ │
│ │ │ │
│ │ ✅ ON-PREM: │ │
│ │ • VN_VOICE (10.252.10.0/24) → Phone registration │ │
│ │ • VN_SERVERS (10.252.80.0/21) → CRM servers │ │
│ │ │ │
│ │ ✅ AZURE: │ │
│ │ • Azure SQL (10.100.2.10) → Customer database (read-only) │ │
│ │ • Azure Stor (10.100.3.0/24) → Call recordings (read-only) │ │
│ │ │ │
│ │ ✅ GCP: │ │
│ │ • Vertex AI Dashboard (via Umbrella DIA, TLS 1.3) │ │
│ │ • BigQuery (via Cloud IAM, read-only) │ │
│ │ │ │
│ │ ❌ BLOCKED: │ │
│ │ • Corporate Finance VN (10.252.90.0/24) │ │
│ │ • Azure AD Admin Portal │ │
│ │ • GCP Vertex AI Training (no model uploads) │ │
│ │ │ │
│ └────────────────────────────────────────────────────────────────────────────┘ │
│ │
└──────────────────────────────────────────────────────────────────────────────────┘
Encryption Matrix¶
| Path | Encryption Method | Key Management | Rotation |
|---|---|---|---|
| On-Prem ↔ Azure (ExpressRoute) | MACsec (Layer 2) | Pre-shared key (SD-WAN) | 90 days |
| Branch ↔ Azure Virtual WAN | IPsec IKEv2 | Pre-shared key (SD-WAN) | 180 days |
| Branch ↔ Umbrella SASE | IPsec IKEv2 | Pre-shared key (SD-WAN) | 180 days |
| User ↔ GCP Console | TLS 1.3 | Certificate (Google-managed) | Auto |
| WxCC ↔ GCP Vertex AI | TLS 1.3 | Certificate (Cisco/Google) | Auto |
| GCP Data at Rest | AES-256 | CMEK (Customer-Managed) | 90 days |
| Azure Data at Rest | AES-256 | Customer-Managed Keys | 90 days |
| On-Prem Fabric (SD-Access) | MACsec | Pre-shared key (DNAC) | Annual |