MAS Public Cloud-Richtlinien: Ein tiefer Einblick in ihre Auswirkungen auf die Cloud-Sicherheit – Fintech Singapore

In einer sich schnell digitalisierenden Welt, die durch die COVID-19-Pandemie noch beschleunigt wird, ist die Cloud-Technologie zu einem zentralen Eckpfeiler für Unternehmen weltweit geworden. Kürzlich hat die Monetary Authority of Singapore (MAS) ein Rundschreiben mit Richtlinien für die öffentliche Cloud zu den mit ihrer Einführung verbundenen Cyberrisiken eingeführt, die sich gleichermaßen auf den Finanz- und Technologiesektor auswirken. 

Die Entwicklung der Cloud-Technologie hat die Art und Weise verändert, wie bisher landumschlossene Unternehmen arbeiten. Der Bedarf an verbesserter Cloud-Sicherheit, insbesondere in der streng regulierten Fintech-Branche, der weitreichende Auswirkungen haben könnte, war noch nie so groß. 

Das aktuelle Webinar mit dem Titel „Wie sich die neuen MAS Public Cloud-Richtlinien auf Sie auswirken', moderiert vom CEO des Cybersicherheitsspezialisten Horangi, Paul Hadjy, brachte Branchenexperten zusammen, um die aktualisierten Richtlinien der Monetary Authority of Singapore (MAS) zu beleuchten. 

Zu den Diskussionsteilnehmern gehörten Anand Nirgudkar, CTO des Zahlungs-Fintechs CardUp, und Ivy Young, Leiterin Sicherheit bei AWS Professional Services, ASEAN.

Diese entscheidende Diskussion mit einigen der führenden Experten der Branche bietet einen ganzheitlichen Blick auf die Public-Cloud-Landschaft in Bezug auf die Richtlinien der MAS, befasst sich mit den Auswirkungen und deren Bedeutung für Organisationen.

Die Kraft der Cloud nutzen

Die Allgegenwärtigkeit der Cloud in den letzten Jahren ist den Diskussionsteilnehmern nicht entgangen. Von der Gewährleistung der Verfügbarkeit rund um die Uhr bis hin zur Bereitstellung des Zugriffs auf Marktdaten ist die Cloud-Infrastruktur das Rückgrat ihres Betriebs.

In der Zwischenzeit hob Anand über die Erfahrungen von CardUp das Cloud-First-Ethos des Unternehmens hervor und verwies auf die Einhaltung des PCI DSS, bewährte Architekturpraktiken und regionales Wachstum als Hauptmotive für die Cloud-Abhängigkeit.

Die Herausforderung der Cloud-Sicherheit

Trotz der enormen Vorteile, die die Cloud-Technologie bietet, sind die damit verbundenen Herausforderungen, insbesondere im Sicherheitsbereich, bemerkenswert. Eine solche Herausforderung ist die Fehlkonfiguration. Anand betont die Dynamik der Cloud-Sicherheit und führt den berüchtigten Capital One-Vorfall als deutliche Erinnerung daran an, wie einfache Fehlkonfigurationen zu erheblichen Verstößen führen können.

Es geht jedoch nicht nur um eine Fehlkonfiguration. Wie in den MAS-Richtlinien dargelegt, bleibt das Identitäts- und Zugriffsmanagement von größter Bedeutung. Paul betonte die Bedeutung robuster Kontrollen, insbesondere bei Onboarding- und Offboarding-Praktiken.

Nachdenken über die aktuelle Verstöße In separaten Angriffen auf die DeFi-Protokolle Harbor und Exactly erinnerte das Gremium an die Beweggründe der Angreifer. Wenn es mehr zu gewinnen gibt, wird die Aufmerksamkeit der Angreifer unweigerlich auf sich gezogen. Obwohl die Cloud-Infrastruktur beispiellose Vorteile bietet, steht noch nie so viel auf dem Spiel.

Das Modell der geteilten Verantwortung

Ein zentrales Diskussionsthema drehte sich um das „Modell der geteilten Verantwortung“. Ivy Young bemerkte: „Etwas Grundlegendes hier, wenn wir Sicherheit betrachten, ist ein Modell der gemeinsamen Verantwortung.“ 

Dieses Modell betont die Aufteilung der Verantwortung zwischen Cloud-Anbietern und ihren Kunden. Während Cloud-Anbieter die Sicherheit der Cloud gewährleisten, müssen Kunden schützen, was sie in die Cloud stellen, seien es Daten oder Anwendungen.

Ivy wies weiter darauf hin, dass es wichtig sei, das Modell der geteilten Verantwortung zu verstehen. Die Herausforderung entsteht jedoch, wenn dieses Verständnis nicht in den täglichen Abläufen und Prozessen umgesetzt wird. Infolgedessen könnten Fehlkonfigurationen oder Governance-Lücken entstehen.

Sichtbarkeit in der Cloud-Infrastruktur

Anand betonte die Bedeutung der Transparenz in der Cloud-Infrastruktur. „Der grundlegende Aspekt, ob Sie Daten sichern oder etwas verhindern möchten, ist der Sichtbarkeitsaspekt“, kommentierte er. 

Eine umfassende Aufsicht gewährleistet eine wirksame Prävention, Erkennung und ein auf die Cloud zugeschnittenes Vorfallmanagement. Tools wie AWS Incident Manager, Azure Sentinel und andere spielen eine entscheidende Rolle bei der Bereitstellung dieser Transparenz und helfen Unternehmen dabei, Fehlkonfigurationen frühzeitig zu erkennen und robuste Governance-Modelle zu implementieren.

Entschlüsselung von Cloud-Sicherheitsjargons

Die rasante Entwicklung der Cloud-Technologie führt häufig zu neuen Terminologien und Akronymen. Die Diskussionsteilnehmer nahmen die Teilnehmer mit auf eine spannende Tour durch diese Themen, angefangen bei CWPP (Cloud Workload Protection Platform) über CSPP (Cloud Security Posture Management) bis hin zu CNAPP (Cloud Native Application Protection Platform). Das übergeordnete Thema war die Gewährleistung von Sicherheit und Compliance in der sich schnell entwickelnden Cloud-Umgebung.

„Verstehen Sie die Kernanwendungsfälle“, betonte das Gremium und fügte hinzu, dass der Schwerpunkt unabhängig vom Akronym immer auf dem Schutz von Daten, Kontrollebenen und der Gewährleistung einer robusten Cloud-Sicherheit liegen sollte.

Die Alert Fatigue Challenge

Obwohl die Verfügbarkeit von Werkzeugen von entscheidender Bedeutung ist, wies Anand auf die eigentliche Herausforderung hin: „Alarmmüdigkeit ist real.“ 

Sicherheitssysteme können Teams mit Warnungen überschwemmen, was dazu führt, dass sie inmitten einer Flut von Fehlalarmen den Fokus auf echte Bedrohungen verlieren. Daher ist es nicht nur wichtig, Tools zu implementieren, sondern auch sicherzustellen, dass sie so zugeschnitten sind, dass sie umsetzbare Erkenntnisse liefern, ohne das Sicherheitspersonal zu überfordern.

Informieren Sie sich über das MAS-Rundschreiben zur Cloud-Einführung

Im Mittelpunkt des Webinars stand das neue Rundschreiben der Monetary Authority of Singapore zur Cloud-Einführung für singapurische Organisationen. Das Rundschreiben betont die schnelle Migration der Finanzdienstleistungsbranche in Singapur zu Cloud-Plattformen. 

Wie Paul Hadjy feststellte, unterstreicht das MAS-Rundschreiben zwar nicht jedes Akronym, es unterstreicht jedoch die Bedeutung wirksamer Lösungen, Prozesse und Schadensbegrenzungsstrategien. Das Ziel des Rundschreibens besteht darin, sicherzustellen, dass regulierte Unternehmen die höchsten Standards der Cloud-Sicherheit einhalten.

Wie sich die MAS Public Cloud-Richtlinien auf Unternehmen auswirken

Paul betonte, wie wichtig es sei, die Fehlkonfigurationen innerhalb der Cloud-Entwicklung zu verstehen, und hob den Wert hervor MAS-Richtlinien für die öffentliche Cloud. Er sagte: „Entwickler, die wissen, woher viele Fehlkonfigurationen kommen, können sehr einflussreich und wichtig sein.“ Laut Paul sind die Richtlinien eine unverzichtbare Lektüre für jeden in der Branche, insbesondere für diejenigen, die sich mit den technischen Aspekten der Cloud befassen.

Die Diskussionsteilnehmer beleuchten die umfassenderen Auswirkungen der Leitlinien. Er wies darauf hin, wie wichtig es ist, dass sich nicht nur aktuelle Akteure der Branche, sondern auch angehende Unternehmer im Fintech-Sektor mit diesen Richtlinien vertraut machen. 

Über das rasante Wachstum der Fintech-Branche sagte das Gremium: „Die Dynamik der Geschäftsentwicklung geht definitiv in Richtung Cloud.“ Sie glauben, dass Investitionen in Cloud-Sicherheitsverfahren gelenkt werden sollten, und betonen die Bedeutung cloudbasierter Arbeit, unabhängig davon, ob es um Informationsverarbeitung, Arbeitsabläufe oder Ansprüche geht.

Ivy, Leiterin der Sicherheitsabteilung bei AWS Professional Services in ASEAN, sprach über die Verbesserung der eigenen Sicherheitslage. Ihrer Meinung nach sind regulatorische Anforderungen erst der Anfang. 

Unternehmen sollten den Aufbau einer Sicherheitskultur frühzeitig anstreben, da ihnen dies auf lange Sicht zugute kommt. Sie erwähnte, dass viele Unternehmen Sicherheit mittlerweile als Verkaufsförderer betrachten, eine Perspektive, die in Asien immer mehr vorherrscht.

Ivy zählte drei erste Schritte für regulierte Finanzunternehmen auf, um ihr Cloud-Sicherheitsprogramm zu starten. Eine besteht darin, die Geschäftsziele an den Sicherheitsreifegraden der Cloud auszurichten.

Die zweite besteht darin, die umfangreichen Ressourcen zu nutzen, die von Cloud-Dienstanbietern angeboten werden. Und drittens ist es von entscheidender Bedeutung, von Anfang an Transparenz zu schaffen, um Risiken rechtzeitig zu erkennen und anzugehen.

Anand Nirgudkar, CTO von CardUp, bot eine ganzheitliche Sichtweise und verglich die Erfahrung der Cloud-Migration zum ersten Mal mit einer Achterbahnfahrt. Er bekräftigte die Bedeutung eines gründlichen Ermittlungsprozesses und der Nutzung der Hilfe von Cloud-Dienstanbietern. 

Darüber hinaus betonte Anand die Notwendigkeit einer Bedrohungsmodellierung und die Vorteile der Schaffung von „Leitplanken“ anstelle von „Toren“.

Er ermutigte die Community außerdem, das Cloud Adoption Framework von AWS aus dem Jahr 2016 zu erkunden, das umfassende Anleitungen bietet, die unabhängig vom konkreten Cloud-Dienstanbieter, den man nutzt, von Nutzen sein können.

Die Säulen der Cloud-Sicherheit verstehen

Das Gremium identifizierte zunächst drei Säulen, die für ein effektives Cloud-Sicherheitsprogramm von grundlegender Bedeutung sind. Erstens ist die Endpunktsicherheit von größter Bedeutung, insbesondere in Branchen, die häufigen Angriffen ausgesetzt sind, wie beispielsweise der Kryptowährungssektor. 

Zweitens konzentrierten sie sich auf die Verhinderung von Datenverlust (Data Loss Prevention, DLP). Da die Belegschaft wächst und aus der Ferne arbeitet, sind Datenlecks zu einem großen Problem geworden. Es ist von entscheidender Bedeutung, den Zugriff auf wichtige Informationen sicherzustellen, ohne die Sicherheit durch Mechanismen wie Single Sign-On oder Zwei-Faktor-Authentifizierung zu beeinträchtigen.

Die letzte Säule drehte sich um Cyber-Hygiene. Wenn Unternehmen wachsen, wird die Einführung einer Kultur guter Cybersicherheitspraktiken unverzichtbar. Sicherstellen, dass sowohl alte als auch neue Mitarbeiter dies tun Es ist von entscheidender Bedeutung, über potenzielle Bedrohungen gut informiert zu sein.

Übergang zur Cloud: Wo soll ich anfangen?

Als Anand Nirgudkar und Ivy Young über den Übergang zur Cloud nachdachten, beschäftigten sich sowohl Anand Nirgudkar als auch Ivy Young mit der Frage, wo man anfangen soll. Anand betonte, wie wichtig es sei, die Vermögenswerte zu verstehen und in eine Rangfolge zu bringen, bevor man Migrationsentscheidungen treffe. Er plädierte für eine Bewertung auf der Grundlage des Risikos und der geschäftlichen Auswirkungen, die mit der potenziellen Migration jedes Vermögenswerts verbunden sind. 

Ivy teilte ähnliche Ansichten und betonte die Bedeutung von Geschäftszielen. Es wurde empfohlen, zunächst weniger wichtige Ressourcen zu migrieren, um Erfahrungen aufzubauen, und dann schrittweise kritischere Workloads zu migrieren, um so das Selbstvertrauen zu stärken und eine praxisorientierte Lernumgebung zu schaffen.

MAS Public Cloud-Richtlinien: Wichtige Erkenntnisse

Eine der drängendsten Fragen bezog sich auf die Änderungen, die durch die MAS-Public-Cloud-Richtlinien hervorgerufen wurden. Anand lieferte eine klare Zusammenfassung der wesentlichen Elemente der Leitlinien. 

Er lobte MAS für sein umfassendes Rundschreiben, das sich mit Aspekten wie der Einführung verschiedener Servicemodelle, gemeinsamen Verantwortlichkeiten, Identitäts- und Zugriffsmanagement, Workload-Sicherheitsansätzen und Zero-Trust-Sicherheitsprinzipien befasst. 

Die Richtlinien befürworten außerdem kontinuierliche Tests, Datensicherheit, Schlüsselverwaltung und mehr. Die Betonung eines risikobasierten Sicherheitsansatzes bildet das Rückgrat des gesamten Rundschreibens und unterstreicht die Bedeutung eines ausgewogenen, pragmatischen Ansatzes für die Cloud-Sicherheit.

Cloud als geschäftliche Notwendigkeit

Obwohl aus Zeitgründen nicht alle Fragen beantwortet werden konnten, bieten die von den Diskussionsteilnehmern geteilten Erkenntnisse einen unschätzbaren Lerneffekt. Der Webinar „Wie sich die neuen MAS Public Cloud-Richtlinien auf Sie auswirken“. betonte, dass die Einführung und Sicherheit der Cloud keine bloßen IT-Entscheidungen sind, sondern im heutigen digitalen Zeitalter von entscheidender Bedeutung für das Unternehmen sind. 

Während die neuen MAS-Richtlinien eine zusätzliche Ebene der Komplexität einführen, läuten sie auch eine Ära erhöhter Sicherheit, Transparenz und Vertrauen ein. Wenn Unternehmen sich an diese Richtlinien halten, ist ein umfassender, strategischer und proaktiver Ansatz zur Cloud-Einführung und -Sicherheit nicht nur empfehlenswert, sondern unerlässlich.

Sehen Sie sich das On-Demand-Webinar an unter diesem Link Erkenntnisse zu gewinnen.

Horangi wird am kommenden Singapore Fintech Festival teilnehmen, das vom 15. bis 17. November stattfindet. Erfahren Sie mehr über ihre Standbeteiligung hier.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/