MAS Public Cloud Guidelines: Syvä sukellus sen vaikutuksiin pilviturvallisuuteen – Fintech Singapore

Nopeasti digitalisoituvassa maailmassa, jota COVID-19-pandemia vauhditti entisestään, pilviteknologiasta on tullut keskeinen kulmakivi yrityksille maailmanlaajuisesti. Singaporen rahaviranomainen (MAS) esitteli äskettäin kiertokirjeen, jossa on julkisia pilviohjeita sen käyttöönotosta liittyvistä kyberriskeistä, jotka vaikuttavat niin finanssi- kuin teknologia-aloihinkin. 

Pilviteknologian kehitys on muokannut aiemmin sisämaayritysten toimintatapoja. Parannetun pilviturvallisuuden tarve erityisesti tiukasti säännellyllä fintech-teollisuudella, jolla voi olla kauaskantoisia vaikutuksia, ei ole koskaan ollut suurempi. 

Äskettäinen webinaari nimeltä "Miten MAS:n uudet julkisen pilven ohjeet vaikuttavat sinuun', jota moderaattorina toimi kyberturvallisuusasiantuntija Horangin toimitusjohtaja Paul Hadjy, kokosi alan asiantuntijat yhteen valaisemaan Singaporen rahaviranomaisen (MAS) päivitettyjä ohjeita. 

Panelisteihin kuuluivat Anand Nirgudkar, maksujen teknologiajohtaja fintech CardUp ja Ivy Young, turvallisuusjohtaja AWS Professional Services, ASEAN.

Tämä keskeinen keskustelu, jossa alan parhaita asiantuntijoita tarjoavat kokonaisvaltaisen näkemyksen julkisesta pilvimaailmasta suhteessa MAS:n asettamat ohjeet, pohtii sen vaikutuksia ja mitä ne tarkoittavat organisaatioille.

Pilven voiman hyödyntäminen

Pilven viime vuosien läsnäolo ei ole menetetty panelisteistä. Pilviinfrastruktuuri on heidän toimintojensa selkäranka 24/7 käytettävyyden varmistamisesta markkinoiden tietojen käyttömahdollisuuksien tarjoamiseen.

Samaan aikaan Anand, puhuessaan CardUpin kokemuksesta, korosti yrityksen pilvipohjaista eetosta ja osoitti PCI DSS -yhteyttä, arkkitehtonisia parhaita käytäntöjä ja alueellista kasvua keskeisinä motivaattoreina heidän pilviriippuvuuteensa.

Pilvitietoturvan haaste

Huolimatta pilviteknologian tarjoamista valtavista eduista, sen aiheuttamat luontaiset haasteet erityisesti turvallisuusalalla ovat huomionarvoisia. Yksi tällainen haaste on konfigurointivirhe. Anand korostaa pilviturvallisuuden dynaamisuutta ja mainitsee pahamaineisen Capital One -tapahtuman jyrkänä muistutuksena siitä, kuinka yksinkertaiset virheelliset asetukset voivat johtaa merkittäviin rikkomuksiin.

Kyse ei kuitenkaan ole vain konfiguroinnista. Kuten MAS-ohjeissa todetaan, identiteetin ja pääsyn hallinta on edelleen ensiarvoisen tärkeää. Paul korosti, että on tärkeää, että käytössä on vankat hallintalaitteet, erityisesti onboarding- ja offboard-käytäntöjen osalta.

Pohdintaa viimeaikaiset rikkomukset DeFi-protokollien Harbor ja Täsmälleen erillisissä hyökkäyksissä paneeli muistutti hyökkääjiä ajavista motiiveista. Kun voitettavaa on enemmän, hyökkääjien huomio kiinnitetään aina. Vaikka pilviinfrastruktuuri tarjoaa vertaansa vailla olevia etuja, panokset eivät ole koskaan olleet suuremmat.

Jaetun vastuun malli

Keskustelun ydinaihe keskittyi "jaetun vastuun malliin". Ivy Young huomautti: "Jotain perustavaa tässä, kun ajattelemme turvallisuutta, on jaetun vastuun malli." 

Tämä malli korostaa vastuunjakoa pilvipalvelujen tarjoajien ja asiakkaiden välillä. Pilvipalveluntarjoajat varmistavat pilven turvallisuuden, mutta asiakkaiden on suojattava pilveen sijoittamansa tiedot tai sovellukset.

Ivy huomautti edelleen, että yhteisvastuumallin ymmärtäminen on välttämätöntä. Haaste syntyy kuitenkin silloin, kun tämä ymmärrys ei muutu päivittäisiksi toimiksi ja prosesseiksi. Tämän seurauksena saattaa ilmetä virheellisiä määrityksiä tai hallinnon aukkoja.

Näkyvyys pilviinfrastruktuurissa

Anand korosti näkyvyyden merkitystä pilviinfrastruktuurissa. "Perusnäkökohta siinä, haluatko suojata tiedot vai estää mitään, on näkyvyys", hän kommentoi. 

Kattava valvonta varmistaa tehokkaan ennaltaehkäisyn, havaitsemisen ja tapahtumien hallinnan pilveen räätälöitynä. Työkaluilla, kuten AWS:n Incident Managerilla, Azure Sentinelillä ja muilla, on keskeinen rooli tämän näkyvyyden tarjoamisessa, mikä auttaa organisaatioita havaitsemaan virheelliset määritykset varhaisessa vaiheessa ja toteuttamaan vankat hallintomalleja.

Cloud Security Jargonien purkaminen

Pilviteknologian nopeatempoinen kehitys tuo usein uusia termejä ja lyhenteitä. Panelistit veivät osallistujat näiden pyörremyrskykierrokselle alkaen CWPP:stä (Cloud Workload Protection Platform) CSPP:hen (Cloud Security Posture Management) ja lopuksi CNAPP:iin (Cloud Native Application Protection Platform). Yleinen teema näiden välillä oli turvallisuuden ja vaatimustenmukaisuuden varmistaminen nopeasti kehittyvässä pilviympäristössä.

"Ymmärrä ydinkäyttötapaukset", paneeli painotti ja lisäsi, että lyhenteestä riippumatta keskitytään aina tietojen suojaamiseen, ohjaustasoihin ja vankan pilviturvallisuuden varmistamiseen.

Alert Fatigue Challenge

Vaikka työkalut ovat paikoillaan, Anand huomautti todellisen haasteen: "Valppaus väsymys on todellinen." 

Turvajärjestelmät voivat tulvii tiimejä hälytyksillä, mikä johtaa siihen, että keskittyminen todellisiin uhkiin menetetään väärien positiivisten tulosten keskellä. Siksi on erittäin tärkeää paitsi ottaa käyttöön työkaluja, myös varmistaa, että ne on räätälöity tarjoamaan käyttökelpoisia oivalluksia ilman ylimääräistä turvahenkilöstöä.

Tutustutaan MAS-kiertokirjeeseen pilvipalvelusta

Singaporen rahaviranomaisen uusi kiertokirje pilvipalvelun käyttöönotosta singaporelaisille organisaatioille oli webinaarin pääpainopiste. Kiertokirje korostaa Singaporen finanssipalvelualan nopeaa siirtymistä pilvialustoille. 

Kuten Paul Hadjy huomautti, vaikka MAS-kiertokirje ei ehkä esitä yksityiskohtaisesti jokaista lyhennettä, se korostaa tehokkaiden ratkaisujen, prosessien ja lieventämisstrategioiden tärkeyttä. Kiertokirjeen tavoite on linjassa sen varmistamisen kanssa, että säännellyt yhteisöt ylläpitävät korkeimpia pilviturvallisuusstandardeja.

Miten MAS Public Cloud -ohjeet vaikuttavat yrityksiin

Paul korosti, että on tärkeää ymmärtää virheelliset konfiguraatiot pilvikehityksessä ja korosti sen arvoa MAS:n julkiset pilviohjeet. Hän sanoi: "Kehittäjät, jotka tietävät, mistä monet virheelliset kokoonpanot tulevat, voivat olla erittäin vaikuttavia ja tärkeitä." Ohjeet ovat Paulin mukaan olennaista luettavaa kaikille alan toimijoille, erityisesti pilven teknisten näkökohtien parissa työskenteleville.

Panelistit valaisevat suuntaviivojen laajempia vaikutuksia. Hän korosti, että näihin ohjeisiin on tärkeää perehtyä alan nykyisten toimijoiden lisäksi myös fintech-alan aloitteleville yrittäjille. 

Puhuessaan fintech-teollisuuden nousevasta kasvusta paneeli sanoi: "Liiketoiminnan dynamiikka suuntautuu ehdottomasti pilveen." He uskovat, että investointeja tulisi suunnata pilviturvaprosesseihin korostaen pilvipohjaisen työn merkitystä, oli kyse sitten tiedon käsittelystä, työnkulusta tai reklamaatioista.

Ivy, ASEANin AWS Professional Servicesin turvallisuusjohtaja, puhui turva-asennon parantamisesta. Hänen mukaansa viranomaisvaatimukset tulee nähdä vasta alkuna. 

Yritysten tulee pyrkiä rakentamaan tietoturvakulttuuria varhaisessa vaiheessa, sillä siitä on hyötyä pitkällä aikavälillä. Hän mainitsi, että monet yritykset näkevät nyt turvallisuuden myynnin mahdollistajana, mikä on Aasiassa yhä yleisempää.

Ivy listasi kolme ensimmäistä vaihetta säänneltyjen rahoitusyksiköiden käynnistämiseksi pilvitietoturvaohjelmassa. Yksi on kohdistaa liiketoimintatavoitteet pilven tietoturvan kypsyysasteisiin.

Toinen on hyödyntää pilvipalveluntarjoajien tarjoamia laajoja resursseja. Ja kolmanneksi näkyvyyden luominen alusta alkaen on ratkaisevan tärkeää riskien havaitsemiseksi ja käsittelemiseksi ajoissa.

Anand Nirgudkar, CardUpin tekninen johtaja, tarjosi kokonaisvaltaisen näkemyksen ja vertasi pilven vaeltamisen kokemusta ensimmäistä kertaa vuoristoradalla ajamiseen. Hän toisti perusteellisen etsintäprosessin ja pilvipalveluntarjoajien avun hyödyntämisen tärkeyden. 

Lisäksi Anand korosti uhkamallinnuksen tarvetta ja "suojakaiteiden" luomisen etuja "porttien" sijaan.

Hän myös rohkaisi yhteisöä tutustumaan AWS:n Cloud Adoption Frameworkiin vuodelta 2016, joka tarjoaa kattavia ohjeita, joista voi olla hyötyä riippumatta siitä, mitä pilvipalveluntarjoajaa joku mahdollisesti käyttää.

Pilvitietoturvan pilarien ymmärtäminen

Paneeli aloitti tunnistamalla kolme tehokkaan pilvitietoturvaohjelman peruspilaria. Ensinnäkin päätepisteiden tietoturva on äärimmäisen tärkeää, erityisesti aloilla, jotka ovat alttiina toistuville hyökkäyksille, kuten kryptovaluuttasektorilla. 

Toiseksi he korostivat tietojen häviämisen estoa (DLP). Kun työvoimat laajenevat ja toimivat etänä, tietovuodoista on tullut keskeinen huolenaihe. On erittäin tärkeää varmistaa pääsy tärkeisiin tietoihin vaarantamatta turvallisuutta kertakirjautumisen tai kaksivaiheisen todennuksen kaltaisten mekanismien avulla.

Viimeinen pilari oli kyberhygienia. Organisaatioiden kasvaessa hyvien kyberturvallisuuskäytäntöjen kulttuurin juurruttaminen on välttämätöntä. Varmistetaan, että niin vanhat kuin uudetkin työntekijät ovat hyvin perillä mahdollisista uhista on ratkaisevan tärkeää.

Siirtyminen pilveen: mistä aloittaa?

Kun harkittiin siirtymistä pilveen, sekä Anand Nirgudkar että Ivy Young käsittelivät kysymystä "mistä aloittaa". Anand korosti, että on tärkeää ymmärtää ja luokitella omaisuus ennen siirtymispäätösten tekemistä. Hän kannatti arviointia, joka perustuu kunkin omaisuuden mahdolliseen siirtymiseen liittyviin riskeihin ja liiketoimintavaikutuksiin. 

Samanlaisia ​​tunteita toistaen Ivy korosti liiketoiminnan tavoitteiden merkitystä. Alkaen vähemmän kriittisten resurssien siirtämisestä kokemuksen lisäämiseksi ja sitten asteittain kriittisempien työkuormien siirtämistä suositeltiin, mikä lisäsi luottamusta ja kehitti käytännön oppimisympäristöä.

MAS Public Cloud Guidelines: tärkeimmät takeaways

Yksi kiireellisimmistä kysymyksistä liittyi MAS:n julkisten pilviohjeiden tuomiin muutoksiin. Anand esitti selkeän yhteenvedon ohjeiden olennaisista osista. 

Hän kehui MASia sen kattavasta kiertokirjeestä, jossa käsitellään erilaisten palvelumallien käyttöönottoa, vastuunjakoa, identiteetin ja pääsyn hallintaa, työtaakan suojausmenetelmiä ja nollaluottamusturvaperiaatteita. 

Ohjeissa suositellaan myös jatkuvaa testausta, tietoturvaa, avainten hallintaa ja paljon muuta. Riskiperusteisen tietoturvalähestymistavan korostaminen muodostaa koko kiertokirjeen selkärangan, mikä korostaa tasapainoisen ja käytännöllisen lähestymistavan merkitystä pilviturvallisuuteen.

Pilvi liiketoimintana välttämätön

Vaikka kaikkiin kysymyksiin ei pystyttykään vastaamaan aikarajoitusten vuoksi, panelistien jakamat oivallukset tarjoavat korvaamatonta oppimista. The "Kuinka MAS:n uudet julkisen pilven suuntaviivat vaikuttavat sinuun" -webinaari Hän korosti, että pilven käyttöönotto ja tietoturva eivät ole pelkkiä IT-päätöksiä, vaan ne ovat tärkeitä liiketoiminnan tarpeita nykypäivän digitaaliaikana. 

Vaikka uudet MAS-ohjeet lisäävät monimutkaisuutta, ne myös käynnistävät parannetun turvallisuuden, läpinäkyvyyden ja luottamuksen aikakauden. Kun organisaatiot noudattavat näitä ohjeita, kattava, strateginen ja ennakoiva lähestymistapa pilvipalveluiden käyttöönotossa ja tietoturvassa ei ole vain suositeltavaa, vaan myös välttämätöntä.

Katso on-demand-webinaari tällä linkillä saadakseen oivalluksia.

Horangi osallistuu tulevalle Singaporen Fintech Festivalille, joka järjestetään 15.-17. marraskuuta. Lue lisää heidän osallistumisestaan ​​osastolle tätä.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/