MAS-i avaliku pilve juhised: sügav sukeldumine selle mõjusse pilveturbele – Fintech Singapore

Keset kiiresti digitaliseeruvat maailma, mida COVID-19 pandeemia veelgi kiirendas, on pilvetehnoloogiast saanud kogu maailmas ettevõtete jaoks keskne nurgakivi. Hiljuti tutvustas Singapuri rahandusamet (MAS) ringkirja avalike pilvejuhistega selle vastuvõtmisega seotud küberriskide kohta, mis mõjutavad nii finants- kui ka tehnoloogiasektorit. 

Pilvetehnoloogia areng on muutnud seda, kuidas varem sisemaal olnud ettevõtted tegutsevad. Vajadus täiustatud pilveturbe järele, eriti rangelt reguleeritud fintech-tööstuses, millel võib olla kaugeleulatuv mõju, pole kunagi olnud suurem. 

Hiljutine veebiseminar pealkirjaga "Kuidas MAS-i uued avaliku pilve juhised teid mõjutavad", mida modereeris küberjulgeolekuspetsialist Horangi tegevjuht Paul Hadjy, tõi kokku valdkonna eksperdid, et tuua valgust Singapuri rahandusasutuse (MAS) kehtestatud ajakohastatud juhistele. 

Paneelide hulka kuulusid Anand Nirgudkar, fintech CardUpi maksete tehnoloogiajuht ja Ivy Young, ASEANi AWS Professional Servicesi turbejuht.

See pöördeline arutelu, kus osalevad mõned valdkonna juhtivad eksperdid, kes pakuvad terviklikku vaadet avalikust pilvemaastikust seoses MAS kehtestatud juhised, süveneb selle mõjudesse ja sellesse, mida need organisatsioonide jaoks tähendavad.

Pilve jõu kasutamine

Pilve viimaste aastate kõikjalolek pole paneelis osalejate jaoks kadunud. Alates 24/7 tööaja tagamisest kuni turuandmetele juurdepääsu pakkumiseni on pilveinfrastruktuur nende tegevuse alustala.

Samal ajal tõstis Anand CardUpi kogemusest rääkides esile ettevõtte pilvepõhist eetost, osutades PCI DSS-i järgimisele, parimatele arhitektuurilistele tavadele ja piirkondlikule kasvule kui nende pilvesõltuvuse peamistele motivaatoritele.

Pilveturbe väljakutse

Vaatamata pilvetehnoloogia pakutavatele tohututele eelistele, on sellega kaasnevad väljakutsed, eriti turvalisuse valdkonnas, tähelepanuväärsed. Üks selline väljakutse on vale konfiguratsioon. Anand rõhutab pilveturbe dünaamilisust ja tsiteerib kurikuulsat Capital One’i intsidenti, mis tuletab meelde, kuidas lihtsad valesti seadistamised võivad põhjustada olulisi rikkumisi.

Kuid see ei puuduta ainult valesti seadistamist. Nagu MAS-i juhistes märgitud, on identiteedi- ja juurdepääsuhaldus endiselt ülitähtis. Paul rõhutas tugevate kontrollide olemasolu olulisust, eriti sisse- ja väljasõidupraktikate puhul.

Mõtiskledes hiljutised rikkumised DeFi protokollidest Harbor ja Täpselt eraldi rünnakutes tuletas paneel meelde ründajate ajendamise motiive. Kui on rohkem võita, juhitakse ründajate tähelepanu alati. Kuigi pilveinfrastruktuur pakub võrratuid eeliseid, pole panused kunagi olnud suuremad.

Jagatud vastutuse mudel

Arutelu põhiteema, mis keskendub jagatud vastutuse mudelile. Ivy Young märkis: "Midagi põhilist siin, kui me kaalume turvalisust, on jagatud vastutuse mudel." 

See mudel rõhutab vastutuse jagunemist pilveteenuse pakkujate ja nende klientide vahel. Kui pilveteenuse pakkujad tagavad pilve turvalisuse, peavad kliendid turvama selle, mida nad pilve panevad, olgu selleks siis andmed või rakendused.

Lisaks märkis Ivy, et jagatud vastutuse mudeli mõistmine on hädavajalik. Väljakutse tekib aga siis, kui see arusaam ei väljendu igapäevatoimingutes ja protsessides. Järelikult võivad tekkida väärkonfiguratsioonid või juhtimislüngad.

Nähtavus pilveinfrastruktuuris

Anand tõi esile nähtavuse olulisuse pilve infrastruktuuris. "Põhiline aspekt, kas soovite andmeid kaitsta või midagi ära hoida, on nähtavuse aspekt," kommenteeris ta. 

Põhjalik järelevalve tagab pilve jaoks kohandatud tõhusa ennetamise, tuvastamise ja intsidentide haldamise. Tööriistad, nagu AWS-i intsidentide haldur, Azure Sentinel ja teised, mängivad selle nähtavuse pakkumisel keskset rolli, aidates organisatsioonidel varakult tuvastada valesid seadistusi ja rakendada tugevaid juhtimismudeleid.

Pilveturbe žargoonide dekodeerimine

Pilvetehnoloogia kiire areng toob sageli kasutusele uusi terminoloogiaid ja akronüüme. Aruteluliikmed viisid osalejad nende keerises ringi, alustades CWPP-st (Cloud Workload Protection Platform) kuni CSPP-ni (Cloud Security Posture Management) ja lõpuks CNAPP-ni (Cloud Native Application Protection Platform). Igaühe läbiv teema oli turvalisuse ja vastavuse tagamine kiiresti arenevas pilvekeskkonnas.

"Saage aru peamistest kasutusjuhtudest," rõhutas paneel, lisades, et olenemata akronüümist tuleks alati keskenduda andmete kaitsmisele, juhtimistasanditele ja tugeva pilveturbe tagamisele.

Alert väsimuse väljakutse

Ehkki tööriistade olemasolu on hädavajalik, juhtis Anand tähelepanu tõelisele väljakutsele: "Valvas väsimus on tõeline." 

Turvasüsteemid võivad töörühmi hoiatustega üle ujutada, mis põhjustab valepositiivsete tulemuste mere keskel tähelepanu kaotuse tõelistele ohtudele. Seetõttu on ülioluline mitte ainult tööriistade kasutuselevõtt, vaid ka tagada, et need oleksid kohandatud pakkuma praktilisi teadmisi ilma turvatöötajate ülekoormamiseta.

Tutvumine MAS-i ringkirjaga pilve vastuvõtmise kohta

Singapuri rahandusamet Singapuri uus ringkiri pilve kasutuselevõtu kohta Singapuri organisatsioonide jaoks oli veebiseminari peamine fookuspunkt. Ringkiri rõhutab Singapuri finantsteenuste tööstuse kiiret migreerumist pilveplatvormidele. 

Nagu Paul Hadjy märkis, ei pruugi MAS-i ringkiri kõiki akronüüme üksikasjalikult kirjeldada, kuid see rõhutab tõhusate lahenduste, protsesside ja leevendusstrateegiate olemasolu tähtsust. Ringkirja eesmärk on kooskõlas selle tagamisega, et reguleeritud üksused järgivad pilveturbe kõrgeimaid standardeid.

Kuidas MASi avaliku pilve juhised ettevõtteid mõjutavad

Paul rõhutas, kui oluline on mõista pilvearenduse valesid konfiguratsioone, tõstes esile selle väärtuse MAS avaliku pilve juhised. Ta ütles: "Arendajad, kes teavad, kust paljud valekonfiguratsioonid pärinevad, võivad olla väga mõjukad ja olulised." Pauli sõnul on juhised hädavajalikud lugemiseks kõigile selles valdkonnas tegutsejatele, eriti neile, kes on seotud pilve tehniliste aspektidega.

Aruteluliikmed valgustavad suuniste laiemat mõju. Ta juhtis tähelepanu sellele, kui oluline on, et mitte ainult praegused valdkonna tegijad, vaid ka fintech-sektori algajad ettevõtjad viiksid end nende suunistega kurssi. 

Fintech-tööstuse kiirest kasvust rääkides ütles paneel: "Äritegevuse dünaamika on kindlasti pilve suunas." Nad usuvad, et investeeringud peaksid olema suunatud pilveturbe protseduuridele, rõhutades pilvepõhise töö olulisust, olgu see siis teabe käsitlemine, töövoog või nõuded.

ASEANi AWS Professional Servicesi turvalisuse juht Ivy rääkis oma turvalisuse parandamisest. Tema sõnul tuleks regulatiivseid nõudeid vaadelda kui algust. 

Ettevõtetel tuleks seada eesmärgiks turvakultuuri ülesehitamine varakult, sest see tooks neile pikemas perspektiivis kasu. Ta mainis, et paljud ettevõtted näevad praegu turvalisust müügi võimaldajana, mis on Aasias üha enam levinud.

Ivy loetles kolm esimest sammu reguleeritud finantsüksuste jaoks pilveturbeprogrammi käivitamiseks. Üks on viia ärieesmärgid kooskõlla pilve turbeküpsustasemetega.

Teine on pilveteenuste pakkujate pakutavate ulatuslike ressursside võimendamine. Ja kolmandaks, nähtavuse loomine algusest peale on riskide õigeaegseks tuvastamiseks ja nendega tegelemiseks ülioluline.

CardUpi tehnoloogiadirektor Anand Nirgudkar pakkus terviklikku vaadet, võrdledes pilvede rände kogemust esimest korda rullnokkadega sõitmisega. Ta kordas, kui oluline on põhjalik avastamisprotsess ja pilveteenuse pakkujate pakutava abi ärakasutamine. 

Veelgi enam, Anand rõhutas ohtude modelleerimise vajalikkust ja "kaitsepiirete" loomise eeliseid, mitte "väravaid".

Samuti julgustas ta kogukonda uurima AWS-i pilve kasutuselevõtu raamistikku alates 2016. aastast, mis annab põhjalikud juhised, mis võivad olla kasulikud, olenemata konkreetsest pilveteenuse pakkujast, mida keegi võib kasutada.

Pilveturbe tugisammaste mõistmine

Paneel alustas kolme tõhusa pilveturbeprogrammi põhialuse kindlaksmääramisega. Esiteks on lõpp-punkti turvalisus ülimalt tähtis, eriti sagedastele rünnakutele vastuvõtlikes tööstusharudes, näiteks krüptovaluutasektor. 

Teiseks tõstsid nad tähelepanu andmete kadumise vältimisele (DLP). Kuna tööjõud laieneb ja töötab eemalt, on andmete lekkimine muutunud oluliseks probleemiks. Oluline on tagada juurdepääs olulisele teabele ilma turvalisust ohustamata selliste mehhanismide abil nagu ühekordne sisselogimine või kahefaktoriline autentimine.

Viimane sammas keerles küberhügieeni ümber. Organisatsioonide kasvades muutub küberturvalisuse heade tavade kultuuri juurutamine hädavajalikuks. Tagada, et töötajad, nii vanad kui uued, oleksid võimalikest ohtudest hästi informeeritud on ülioluline.

Pilvele üleminek: kust alustada?

Kaaludes pilvele üleminekut, käsitlesid nii Anand Nirgudkar kui ka Ivy Young küsimust „kust alustada”. Anand rõhutas, kui oluline on varade mõistmine ja järjestamine enne migratsiooniotsuse tegemist. Ta pooldas hindamist, mis põhineks iga vara võimaliku migratsiooniga seotud riskidel ja ärimõjul. 

Sarnaseid tundeid kordades tõi Ivy välja ärieesmärkide olulisuse. Alustades kogemuste kogumiseks vähem kriitiliste varade üleviimisest ja seejärel kriitilisematele töökoormustele järk-järgult üleminekut soovitati, suurendades seeläbi enesekindlust ja arendades praktilist õpikeskkonda.

MAS-i avaliku pilve juhised: peamised näpunäited

Üks pakilisemaid küsimusi oli seotud MAS-i avaliku pilve juhenditega kaasnenud muudatustega. Anand esitas suuniste oluliste elementide üksikasjaliku kokkuvõtte. 

Ta kiitis MAS-i selle põhjaliku ringkirja eest, mis käsitleb erinevaid aspekte alates erinevate teenusemudelite kasutuselevõtust, jagatud vastutusest, identiteedi ja juurdepääsu haldamisest, töökoormuse turvalisuse lähenemisviisidest ja null-usalduspõhimõttest. 

Suunised toetavad ka pidevat testimist, andmeturvet, võtmehaldust ja palju muud. Rõhk riskipõhisele turvalisuse lähenemisviisile moodustab kogu ringkirja selgroo, rõhutades tasakaalustatud ja pragmaatilise lähenemisviisi tähtsust pilveturbe suhtes.

Pilv äritegevusena

Kuigi ajapiirangute tõttu ei saanud kõiki küsimusi lahendada, pakuvad paneeli liikmete jagatud arusaamad hindamatut õppimist. The Veebiseminar „Kuidas MAS-i avaliku pilve uued juhised teid mõjutavad? rõhutas, et pilve kasutuselevõtt ja turvalisus ei ole pelgalt IT-otsused, vaid need on tänapäeva digiajastul kriitilised ärivajadused. 

Kuigi uued MAS-i juhised lisavad täiendavat keerukust, juhatavad need sisse ka täiustatud turvalisuse, läbipaistvuse ja usalduse ajastu. Kuna organisatsioonid järgivad neid juhiseid, ei ole kõikehõlmav, strateegiline ja ennetav lähenemisviis pilve kasutuselevõtule ja turvalisusele mitte ainult soovitatav, vaid ka hädavajalik.

Vaadake tellitavat veebiseminari sellel lingil arusaamade saamiseks.

Horangi osaleb eelseisval Singapuri Fintech Festivalil, mis toimub 15.-17. novembril. Lisateavet nende boksis osalemise kohta siin.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/