Οδηγίες MAS Public Cloud: Μια βαθιά κατάδυση στον αντίκτυπό της στην ασφάλεια Cloud – Fintech Singapore

Εν μέσω ενός ταχέως ψηφιοποιούμενου κόσμου, που επιταχύνθηκε περαιτέρω από την πανδημία του COVID-19, η τεχνολογία cloud έχει γίνει βασικός ακρογωνιαίος λίθος για τις επιχειρήσεις σε όλο τον κόσμο. Πρόσφατα, η Νομισματική Αρχή της Σιγκαπούρης (MAS) παρουσίασε μια εγκύκλιο με κατευθυντήριες γραμμές για το δημόσιο cloud σχετικά με τους κινδύνους στον κυβερνοχώρο που συνδέονται με την υιοθέτησή της, επηρεάζοντας εξίσου τον χρηματοοικονομικό και τον τεχνολογικό τομέα. 

Η εξέλιξη της τεχνολογίας cloud έχει αναδιαμορφώσει τον τρόπο με τον οποίο λειτουργούσαν προηγουμένως κλειστές εταιρείες. Η ανάγκη για ενισχυμένη ασφάλεια cloud, ειδικά στον αυστηρά ρυθμιζόμενο κλάδο fintech που θα μπορούσε να έχει εκτεταμένες επιπτώσεις, δεν ήταν ποτέ μεγαλύτερη. 

Το πρόσφατο διαδικτυακό σεμινάριο με τίτλο «Πώς σας επηρεάζουν οι νέες Οδηγίες για το δημόσιο Cloud του MAS», με συντονιστή τον CEO του ειδικού κυβερνοασφάλειας Horangi, Paul Hadjy, συγκέντρωσε εμπειρογνώμονες του κλάδου για να ρίξει φως στις ενημερωμένες κατευθυντήριες γραμμές που ορίζει η Νομισματική Αρχή της Σιγκαπούρης (MAS). 

Μεταξύ των συμμετεχόντων ήταν ο Anand Nirgudkar, CTO πληρωμών fintech CardUp και ο Ivy Young, Επικεφαλής Ασφάλειας στο AWS Professional Services, ASEAN.

Αυτή η κομβική συζήτηση, με μερικούς από τους κορυφαίους ειδικούς του κλάδου που προσφέρουν μια ολιστική άποψη του τοπίου του δημόσιου νέφους σε σχέση με το κατευθυντήριες γραμμές που ορίζει η MAS, εμβαθύνει στις επιπτώσεις του και τι σημαίνουν για τους οργανισμούς.

Αξιοποιώντας τη δύναμη του σύννεφου

Η πανταχού παρουσία του cloud τα τελευταία χρόνια δεν έχει χαθεί στους πάνελ. Από τη διασφάλιση χρόνου λειτουργίας 24/7 έως την παροχή πρόσβασης σε δεδομένα αγοράς, η υποδομή cloud είναι η ραχοκοκαλιά των λειτουργιών τους.

Εν τω μεταξύ, ο Anand, μιλώντας για την εμπειρία της CardUp, υπογράμμισε το ήθος της εταιρείας για πρώτη φορά στο cloud, επισημαίνοντας τη συμμόρφωση στο PCI DSS, τις βέλτιστες αρχιτεκτονικές πρακτικές και την περιφερειακή ανάπτυξη ως βασικά κίνητρα για την εξάρτησή τους από το cloud.

The Challenge of Cloud Security

Παρά τα τεράστια οφέλη που προσφέρει η τεχνολογία cloud, οι εγγενείς προκλήσεις που θέτει, ιδιαίτερα στον τομέα της ασφάλειας, είναι αξιοσημείωτες. Μια τέτοια πρόκληση είναι η εσφαλμένη διαμόρφωση. Ο Anand τονίζει τον δυναμισμό της ασφάλειας του cloud και αναφέρει το περιβόητο περιστατικό του Capital One ως μια έντονη υπενθύμιση του πώς απλές εσφαλμένες διαμορφώσεις μπορούν να οδηγήσουν σε σημαντικές παραβιάσεις.

Ωστόσο, δεν πρόκειται μόνο για λανθασμένη διαμόρφωση. Όπως επισημαίνεται στις κατευθυντήριες γραμμές του MAS, η διαχείριση ταυτότητας και πρόσβασης παραμένει πρωταρχικής σημασίας. Ο Paul τόνισε τη σημασία της ύπαρξης ισχυρών ελέγχων, ιδιαίτερα με τις πρακτικές επιβίβασης και αποβίβασης.

Αναλογιζόμενος το πρόσφατες παραβιάσεις των πρωτοκόλλων DeFi Harbor και Exactly σε ξεχωριστές επιθέσεις, το πάνελ υπενθύμισε τα κίνητρα που οδηγούσαν τους επιτιθέμενους. Όταν υπάρχουν περισσότερα να κερδίσουν, η προσοχή των επιτιθέμενων τραβιέται πάντα. Ως εκ τούτου, ενώ η υποδομή cloud προσφέρει απαράμιλλα πλεονεκτήματα, τα στοιχήματα δεν ήταν ποτέ υψηλότερα.

Το μοντέλο της κοινής ευθύνης

Ένα βασικό θέμα συζήτησης που επικεντρώθηκε γύρω από το «μοντέλο κοινής ευθύνης». Ο Ivy Young παρατήρησε: «Κάτι θεμελιώδες εδώ, όταν εξετάζουμε την ασφάλεια, είναι ένα μοντέλο κοινής ευθύνης». 

Αυτό το μοντέλο τονίζει τον καταμερισμό της ευθύνης μεταξύ των παρόχων cloud και των πελατών τους. Ενώ οι πάροχοι cloud διασφαλίζουν την ασφάλεια του cloud, οι πελάτες πρέπει να προστατεύουν αυτό που τοποθετούν στο cloud, είτε πρόκειται για δεδομένα είτε για εφαρμογές.

Ο Ivy επεσήμανε περαιτέρω ότι η κατανόηση του μοντέλου κοινής ευθύνης είναι απαραίτητη. Ωστόσο, η πρόκληση προκύπτει όταν αυτή η κατανόηση δεν μεταφράζεται σε καθημερινές λειτουργίες και διαδικασίες. Κατά συνέπεια, θα μπορούσαν να προκύψουν εσφαλμένες διαμορφώσεις ή κενά διακυβέρνησης.

Ορατότητα στην Υποδομή Cloud

Ο Anand τόνισε τη σημασία της ορατότητας στην υποδομή cloud. «Η θεμελιώδης πτυχή του αν θέλετε να ασφαλίσετε δεδομένα ή να αποτρέψετε οτιδήποτε είναι η πτυχή της ορατότητας», σχολίασε. 

Η πλήρης επίβλεψη διασφαλίζει την αποτελεσματική πρόληψη, ανίχνευση και διαχείριση συμβάντων προσαρμοσμένη στο cloud. Εργαλεία όπως το Incident Manager της AWS, το Azure Sentinel και άλλα παίζουν καθοριστικό ρόλο στην παροχή αυτής της ορατότητας, βοηθώντας τους οργανισμούς να εντοπίζουν λανθασμένες διαμορφώσεις έγκαιρα και να εφαρμόζουν ισχυρά μοντέλα διακυβέρνησης.

Αποκωδικοποίηση Cloud Security Jargons

Η γρήγορη εξέλιξη της τεχνολογίας cloud συχνά εισάγει νέες ορολογίες και ακρωνύμια. Οι πάνελ ξενάγησαν τους παρευρισκόμενους σε αυτές, ξεκινώντας από το CWPP (Cloud Workload Protection Platform) έως το CSPP (Cloud Security Pose Management) και τέλος το CNAPP (Cloud Native Application Protection Platform). Το κύριο θέμα μεταξύ του καθενός, ήταν η διασφάλιση της ασφάλειας και της συμμόρφωσης στο ταχέως εξελισσόμενο περιβάλλον cloud.

«Κατανοήστε τις βασικές περιπτώσεις χρήσης», τόνισε η επιτροπή, προσθέτοντας ότι ανεξάρτητα από το ακρωνύμιο, η εστίαση θα πρέπει πάντα να είναι στη διαφύλαξη των δεδομένων, στα επίπεδα ελέγχου και στη διασφάλιση ισχυρής ασφάλειας στο cloud.

The Alert Fatigue Challenge

Ενώ η ύπαρξη εργαλείων είναι απαραίτητη, ο Anand επεσήμανε την πραγματική πρόκληση: «Η κούραση σε εγρήγορση είναι πραγματική». 

Τα συστήματα ασφαλείας μπορούν να κατακλύσουν τις ομάδες με ειδοποιήσεις, οδηγώντας σε απώλεια εστίασης σε πραγματικές απειλές μέσα σε μια θάλασσα από ψευδώς θετικά στοιχεία. Ως εκ τούτου, είναι ζωτικής σημασίας όχι μόνο η εφαρμογή εργαλείων, αλλά και η διασφάλιση ότι είναι προσαρμοσμένα ώστε να παρέχουν αξιόπιστες πληροφορίες χωρίς υπερβολικό προσωπικό ασφαλείας.

Εμβαθύνουμε στην εγκύκλιο MAS για την υιοθέτηση του Cloud

Η νέα εγκύκλιος της Νομισματικής Αρχής της Σιγκαπούρης σχετικά με την υιοθέτηση του cloud για οργανισμούς της Σιγκαπούρης ήταν το κύριο σημείο εστίασης του διαδικτυακού σεμιναρίου. Η εγκύκλιος δίνει έμφαση στην ταχεία μετάβαση του κλάδου των χρηματοοικονομικών υπηρεσιών στη Σιγκαπούρη σε πλατφόρμες cloud. 

Όπως παρατήρησε ο Paul Hadjy, ενώ η εγκύκλιος MAS μπορεί να μην περιγράφει λεπτομερώς κάθε αρκτικόλεξο, υπογραμμίζει τη σημασία της ύπαρξης αποτελεσματικών λύσεων, διαδικασιών και στρατηγικών μετριασμού. Ο στόχος της εγκυκλίου ευθυγραμμίζεται με τη διασφάλιση ότι οι ρυθμιζόμενες οντότητες διατηρούν τα υψηλότερα πρότυπα ασφάλειας cloud.

Πώς επηρεάζουν τις εταιρείες οι κατευθυντήριες γραμμές για το δημόσιο cloud της MAS

Ο Paul τόνισε τη σημασία της κατανόησης των εσφαλμένων διαμορφώσεων στην ανάπτυξη cloud, τονίζοντας την αξία στο Οδηγίες για το δημόσιο cloud του MAS. Είπε, «Οι προγραμματιστές, γνωρίζοντας από πού προέρχονται πολλές από τις εσφαλμένες διαμορφώσεις, μπορεί να έχουν μεγάλη επιρροή και σημασία». Οι οδηγίες, σύμφωνα με τον Paul, είναι απαραίτητο να διαβάσουν οποιονδήποτε στον κλάδο, ειδικά όσους εμπλέκονται στις τεχνικές πτυχές του cloud.

Οι συμμετέχοντες στο πάνελ ρίχνουν φως στις ευρύτερες επιπτώσεις των κατευθυντήριων γραμμών. Επεσήμανε ότι είναι σημαντικό να εξοικειωθούν με αυτές τις κατευθυντήριες γραμμές, όχι μόνο οι σημερινοί παράγοντες του κλάδου, αλλά και οι εκκολαπτόμενοι επιχειρηματίες στον τομέα του fintech. 

Μιλώντας για την αναπτυσσόμενη ανάπτυξη της βιομηχανίας fintech, η επιτροπή είπε: «Η δυναμική του πού πηγαίνουν οι επιχειρήσεις είναι σίγουρα προς το cloud». Πιστεύουν ότι οι επενδύσεις θα πρέπει να κατευθύνονται προς τις διαδικασίες ασφάλειας του cloud, δίνοντας έμφαση στη σημασία της εργασίας που βασίζεται στο cloud, είτε περιλαμβάνει χειρισμό πληροφοριών, ροή εργασιών ή αξιώσεις.

Ο Ivy, ο Επικεφαλής Ασφάλειας στο AWS Professional Services στο ASEAN, μίλησε για τη βελτίωση της στάσης ασφαλείας κάποιου. Σύμφωνα με αυτήν, οι ρυθμιστικές απαιτήσεις πρέπει να θεωρούνται μόνο η αρχή. 

Οι επιχειρήσεις θα πρέπει να στοχεύουν στην οικοδόμηση μιας κουλτούρας ασφάλειας από νωρίς, καθώς αυτό θα τους ωφελούσε μακροπρόθεσμα. Ανέφερε ότι πολλές εταιρείες βλέπουν πλέον την ασφάλεια ως παράγοντα για τις πωλήσεις, μια προοπτική που γίνεται ολοένα και πιο διαδεδομένη στην Ασία.

Ο Ivy απαρίθμησε τρία αρχικά βήματα για τις ρυθμιζόμενες οικονομικές οντότητες για να ξεκινήσουν το πρόγραμμα ασφάλειας cloud. Το ένα είναι η ευθυγράμμιση των επιχειρηματικών στόχων με τα επίπεδα ωριμότητας ασφάλειας του cloud.

Το δεύτερο είναι η αξιοποίηση των εκτεταμένων πόρων που προσφέρουν οι πάροχοι υπηρεσιών cloud. Και τρίτον, η εξασφάλιση της ορατότητας από την αρχή είναι ζωτικής σημασίας για τον εντοπισμό και την έγκαιρη αντιμετώπιση των κινδύνων.

Ο Anand Nirgudkar, CTO του CardUp, προσέφερε μια ολιστική άποψη, παρομοιάζοντας την εμπειρία της μετανάστευσης στο σύννεφο με την οδήγηση σε τρενάκι για πρώτη φορά. Επανέλαβε τη σημασία μιας διεξοδικής διαδικασίας ανακάλυψης και αξιοποίησης της βοήθειας που παρέχουν οι πάροχοι υπηρεσιών cloud. 

Επιπλέον, ο Anand υπογράμμισε την αναγκαιότητα της μοντελοποίησης απειλών και τα οφέλη της δημιουργίας «προστατευτικών κιγκλιδωμάτων» αντί «πυλών».

Ενθάρρυνε επίσης την κοινότητα να εξερευνήσει το πλαίσιο υιοθέτησης cloud της AWS από το 2016, το οποίο παρέχει ολοκληρωμένη καθοδήγηση που μπορεί να είναι επωφελής, ανεξάρτητα από τον συγκεκριμένο πάροχο υπηρεσιών cloud που μπορεί να χρησιμοποιεί κάποιος.

Κατανόηση των Πυλώνων του Cloud Security

Το πάνελ ξεκίνησε εντοπίζοντας τρεις πυλώνες θεμελιώδεις για ένα αποτελεσματικό πρόγραμμα ασφάλειας cloud. Πρώτον, η ασφάλεια του τελικού σημείου έχει ύψιστη σημασία, ειδικά σε βιομηχανίες που είναι επιρρεπείς σε συχνές επιθέσεις, όπως ο τομέας των κρυπτονομισμάτων. 

Δεύτερον, επισήμαναν την πρόληψη της απώλειας δεδομένων (DLP). Καθώς το εργατικό δυναμικό επεκτείνεται και λειτουργεί εξ αποστάσεως, η διαρροή δεδομένων έχει γίνει μια σημαντική ανησυχία. Η διασφάλιση της πρόσβασης σε κρίσιμες πληροφορίες χωρίς να διακυβεύεται η ασφάλεια μέσω μηχανισμών όπως ο έλεγχος ταυτότητας με μία σύνδεση ή ο έλεγχος ταυτότητας δύο παραγόντων είναι ζωτικής σημασίας.

Ο τελευταίος πυλώνας περιστράφηκε γύρω από την υγιεινή στον κυβερνοχώρο. Καθώς οι οργανισμοί αναπτύσσονται, η ενστάλαξη μιας κουλτούρας καλών πρακτικών ασφάλειας στον κυβερνοχώρο καθίσταται απαραίτητη. Διασφάλιση ότι οι εργαζόμενοι, παλιοί και νέοι, είναι Η καλή ενημέρωση σχετικά με πιθανές απειλές είναι ζωτικής σημασίας.

Μετάβαση στο Cloud: Από πού να ξεκινήσετε;

Όταν σκεφτόμασταν τη μετάβαση στο cloud, η ερώτηση «από πού να ξεκινήσω» απαντήθηκε τόσο από τον Anand Nirgudkar όσο και από τον Ivy Young. Ο Anand τόνισε τη σημασία της κατανόησης και της κατάταξης των περιουσιακών στοιχείων πριν από τη λήψη οποιασδήποτε απόφασης για τη μετανάστευση. Υποστήριξε μια αξιολόγηση με βάση τον κίνδυνο και τον επιχειρηματικό αντίκτυπο που σχετίζεται με την πιθανή μετανάστευση κάθε περιουσιακού στοιχείου. 

Απηχώντας παρόμοια συναισθήματα, ο Ivy ξεχώρισε τη σημασία των επιχειρηματικών στόχων. Ξεκινώντας με τη μετανάστευση λιγότερο κρίσιμων στοιχείων για τη δημιουργία εμπειρίας και, στη συνέχεια, συνιστάται η σταδιακή μετάβαση σε πιο κρίσιμους φόρτους εργασίας, ενισχύοντας έτσι την εμπιστοσύνη και καλλιεργώντας ένα πρακτικό περιβάλλον μάθησης.

MAS Public Cloud Guidelines: Key Takeaways

Ένα από τα πιο πιεστικά ερωτήματα αφορούσε τις αλλαγές που επέφεραν οι κατευθυντήριες γραμμές για το δημόσιο cloud της MAS. Ο Anand παρείχε μια συνοπτική περίληψη των βασικών στοιχείων των κατευθυντήριων γραμμών. 

Επαίνεσε τη MAS για την ολοκληρωμένη εγκύκλιό της, η οποία εμβαθύνει σε πτυχές που κυμαίνονται από την εισαγωγή διαφόρων μοντέλων υπηρεσιών, τις κοινές αρμοδιότητες, τη διαχείριση ταυτότητας και πρόσβασης, τις προσεγγίσεις ασφάλειας φόρτου εργασίας και τις αρχές ασφάλειας μηδενικής εμπιστοσύνης. 

Οι κατευθυντήριες γραμμές υποστηρίζουν επίσης τη συνεχή δοκιμή, την ασφάλεια δεδομένων, τη διαχείριση κλειδιών και πολλά άλλα. Η έμφαση σε μια προσέγγιση ασφάλειας που βασίζεται στον κίνδυνο αποτελεί τη ραχοκοκαλιά ολόκληρης της εγκυκλίου, υπογραμμίζοντας τη σημασία μιας ισορροπημένης, ρεαλιστικής προσέγγισης για την ασφάλεια του cloud.

Το Cloud ως Business Imperative

Αν και δεν μπορούσαν να απαντηθούν όλες οι ερωτήσεις λόγω χρονικών περιορισμών, οι γνώσεις που μοιράστηκαν οι συμμετέχοντες προσφέρουν ανεκτίμητη μάθηση. ο Διαδικτυακό σεμινάριο «Πώς σας επηρεάζουν οι νέες κατευθυντήριες γραμμές για το δημόσιο Cloud MAS». υπογράμμισε ότι η υιοθέτηση και η ασφάλεια του cloud δεν είναι απλές αποφάσεις πληροφορικής, αλλά είναι κρίσιμες επιχειρηματικές επιταγές στη σημερινή ψηφιακή εποχή. 

Ενώ οι νέες κατευθυντήριες γραμμές MAS εισάγουν ένα πρόσθετο επίπεδο πολυπλοκότητας, εισάγουν επίσης μια εποχή ενισχυμένης ασφάλειας, διαφάνειας και εμπιστοσύνης. Καθώς οι οργανισμοί πλοηγούνται σε αυτές τις οδηγίες, μια ολοκληρωμένη, στρατηγική και προληπτική προσέγγιση για την υιοθέτηση και την ασφάλεια του cloud δεν συνιστάται απλώς, αλλά απαραίτητη.

Παρακολουθήστε το διαδικτυακό σεμινάριο κατά παραγγελία σε αυτή τη σύνδεση για να αποκτήσουν γνώσεις.

Το Horangi θα συμμετάσχει στο επερχόμενο Φεστιβάλ Fintech της Σιγκαπούρης που θα πραγματοποιηθεί από τις 15 έως τις 17 Νοεμβρίου. Μάθετε περισσότερα για τη συμμετοχή τους στο περίπτερο εδώ.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/