Skip to content

Security Architecture

Zero Trust Access Model

┌──────────────────────────────────────────────────────────────────────────────────┐
│                    MULTI-CLOUD ZERO TRUST ARCHITECTURE                           │
├──────────────────────────────────────────────────────────────────────────────────┤
│                                                                                   │
│  USER IDENTITY & DEVICE POSTURE                                                  │
│  ┌────────────────────────────────────────────────────────────────────────────┐ │
│  │                                                                             │ │
│  │  ┌──────────────┐         ┌──────────────┐         ┌──────────────┐      │ │
│  │  │ Cisco Duo    │         │ Azure AD     │         │ ISE (802.1X) │      │ │
│  │  │ (MFA)        │◄────────┤ (SSO)        │◄────────┤ (Device      │      │ │
│  │  │              │  SAML   │              │  RADIUS │  Profiling)  │      │ │
│  │  └──────┬───────┘         └──────┬───────┘         └──────┬───────┘      │ │
│  │         │                        │                        │              │ │
│  │         └────────────────────────┼────────────────────────┘              │ │
│  │                                  │                                        │ │
│  │                        UNIFIED IDENTITY                                   │ │
│  │              user@abhavtech.com authenticated ✓                          │ │
│  │              device health verified ✓                                     │ │
│  │              MFA passed ✓                                                 │ │
│  │                                                                             │ │
│  └────────────────────────────────────────────────────────────────────────────┘ │
│                                  │                                               │
│                                  ▼                                               │
│  ACCESS POLICY ENGINE                                                            │
│  ┌────────────────────────────────────────────────────────────────────────────┐ │
│  │                                                                             │ │
│  │  IF (user.role == "contact-center-agent") AND                             │ │
│  │     (device.type == "corporate-laptop") AND                               │ │
│  │     (device.compliance == "compliant") AND                                │ │
│  │     (mfa.passed == true)                                                  │ │
│  │  THEN                                                                      │ │
│  │     ALLOW access to:                                                       │ │
│  │       • WxCC Agent Desktop (cloud)                                        │ │
│  │       • GCP Vertex AI Dashboard (read-only)                               │ │
│  │       • Salesforce CRM                                                    │ │
│  │     ASSIGN SGT: 20 (Contact-Center-Agent)                                 │ │
│  │                                                                             │ │
│  └────────────────────────────────────────────────────────────────────────────┘ │
│                                  │                                               │
│                                  ▼                                               │
│  NETWORK SEGMENTATION                                                            │
│  ┌────────────────────────────────────────────────────────────────────────────┐ │
│  │                                                                             │ │
│  │  SGT-20 (Contact-Center-Agent) can access:                                │ │
│  │  ─────────────────────────────────────────────────────────────────────   │ │
│  │                                                                             │ │
│  │  ✅ ON-PREM:                                                               │ │
│  │     • VN_VOICE (10.252.10.0/24) → Phone registration                     │ │
│  │     • VN_SERVERS (10.252.80.0/21) → CRM servers                          │ │
│  │                                                                             │ │
│  │  ✅ AZURE:                                                                 │ │
│  │     • Azure SQL (10.100.2.10) → Customer database (read-only)            │ │
│  │     • Azure Stor (10.100.3.0/24) → Call recordings (read-only)           │ │
│  │                                                                             │ │
│  │  ✅ GCP:                                                                   │ │
│  │     • Vertex AI Dashboard (via Umbrella DIA, TLS 1.3)                    │ │
│  │     • BigQuery (via Cloud IAM, read-only)                                │ │
│  │                                                                             │ │
│  │  ❌ BLOCKED:                                                               │ │
│  │     • Corporate Finance VN (10.252.90.0/24)                              │ │
│  │     • Azure AD Admin Portal                                              │ │
│  │     • GCP Vertex AI Training (no model uploads)                          │ │
│  │                                                                             │ │
│  └────────────────────────────────────────────────────────────────────────────┘ │
│                                                                                   │
└──────────────────────────────────────────────────────────────────────────────────┘

Encryption Matrix

Path Encryption Method Key Management Rotation
On-Prem ↔ Azure (ExpressRoute) MACsec (Layer 2) Pre-shared key (SD-WAN) 90 days
Branch ↔ Azure Virtual WAN IPsec IKEv2 Pre-shared key (SD-WAN) 180 days
Branch ↔ Umbrella SASE IPsec IKEv2 Pre-shared key (SD-WAN) 180 days
User ↔ GCP Console TLS 1.3 Certificate (Google-managed) Auto
WxCC ↔ GCP Vertex AI TLS 1.3 Certificate (Cisco/Google) Auto
GCP Data at Rest AES-256 CMEK (Customer-Managed) 90 days
Azure Data at Rest AES-256 Customer-Managed Keys 90 days
On-Prem Fabric (SD-Access) MACsec Pre-shared key (DNAC) Annual