A MAS nyilvános felhőre vonatkozó iránymutatásai: Mély ugrás a felhőbiztonságra gyakorolt ​​hatásába – Fintech Singapore

A gyorsan digitalizálódó világban, amelyet a COVID-19 világjárvány is felgyorsított, a felhőtechnológia világszerte a vállalkozások sarkalatos pontjává vált. Nemrég a Szingapúri Monetáris Hatóság (MAS) körlevelet vezetett be nyilvános felhőre vonatkozó iránymutatásokkal az elfogadásával kapcsolatos kiberkockázatokról, amelyek egyaránt érintik a pénzügyi és a technológiai szektort. 

A felhőtechnológia fejlődése átformálta a korábban tengerparttal nem rendelkező cégek működését. Soha nem volt ekkora a fokozott felhőbiztonság iránti igény, különösen a szigorúan szabályozott fintech iparágon belül, amelynek messzemenő következményei lehetnek. 

A legutóbbi webinárium "Hogyan hatnak Önre az új MAS nyilvános felhőre vonatkozó irányelveiA Horangi kiberbiztonsági szakértője, Paul Hadjy moderátora iparági szakértőket hívott össze, hogy megvilágítsa a Szingapúri Monetáris Hatóság (MAS) által meghatározott frissített irányelveket. 

A zsűritagok között volt Anand Nirgudkar, a fintech CardUp fizetések műszaki igazgatója és Ivy Young, az AWS Professional Services biztonsági vezetője, ASEAN.

Ez a kulcsfontosságú vita, amelyen az iparág néhány legkiválóbb szakértője vesz részt, akik holisztikus képet nyújtanak a nyilvános felhőkörnyezetről a a MAS által meghatározott irányelveket, elmélyül a következményeiben és abban, hogy mit jelentenek a szervezetek számára.

A felhő erejének kihasználása

A felhő mindenütt jelenléte az elmúlt években nem veszítette el a panellistákat. A 24 órás üzemidő biztosításától a piaci adatokhoz való hozzáférés biztosításáig a felhőalapú infrastruktúra képezi működésük gerincét.

Mindeközben Anand a CardUp tapasztalatairól beszélve kiemelte a vállalat felhő-első szellemiségét, rámutatva a PCI DSS-hez való ragaszkodásra, a legjobb építészeti gyakorlatokra és a regionális növekedésre, mint a felhőfüggőség fő motivációjára.

A felhőbiztonság kihívása

A felhőtechnológia által kínált hatalmas előnyök ellenére figyelemre méltóak a vele járó kihívások, különösen a biztonság területén. Az egyik ilyen kihívás a hibás konfiguráció. Anand hangsúlyozza a felhőalapú biztonság dinamizmusát, és a hírhedt Capital One-incidensre hivatkozik, amely határozottan emlékeztet arra, hogy az egyszerű hibás konfigurációk milyen jelentős jogsértésekhez vezethetnek.

Ez azonban nem csak a hibás konfigurációról szól. Ahogy a MAS-irányelvek is rámutattak, az identitás- és hozzáférés-kezelés továbbra is a legfontosabb. Paul hangsúlyozta a szilárd ellenőrzések fontosságát, különösen a be- és kiszállási gyakorlatok esetében.

Elgondolkodva a közelmúltbeli jogsértések A DeFi protokollok Harbor és Pontosan külön támadásai során a panel emlékeztetett a támadók indítékaira. Ha többet lehet nyerni, a támadók figyelme mindig felkeltődik. Mint ilyen, bár a felhő infrastruktúra páratlan előnyöket kínál, a tét soha nem volt nagyobb.

A megosztott felelősség modellje

A vita központi témája a „megosztott felelősség modellje” köré összpontosul. Ivy Young megjegyezte: „Valami alapvető itt, ha a biztonságot vesszük, a megosztott felelősség modellje.” 

Ez a modell hangsúlyozza a felelősség megosztását a felhőszolgáltatók és ügyfeleik között. Míg a felhőszolgáltatók biztosítják a felhő biztonságát, az ügyfeleknek biztosítaniuk kell, amit a felhőbe helyeznek, legyen az adatok vagy alkalmazások.

Ivy továbbá rámutatott, hogy a megosztott felelősségi modell megértése elengedhetetlen. A kihívás azonban akkor merül fel, ha ez a megértés nem válik be a napi műveletekbe és folyamatokba. Következésképpen hibás konfigurációk vagy irányítási hiányosságok léphetnek fel.

Láthatóság a felhő infrastruktúrájában

Anand kiemelte a láthatóság fontosságát a felhő infrastruktúrájában. „Az alapvető szempont a láthatóság szempontja, hogy az adatokat biztonságba akarjuk-e helyezni, vagy bármit meg akarunk akadályozni” – jegyezte meg. 

Az átfogó felügyelet biztosítja a hatékony megelőzést, észlelést és a felhőre szabott incidenskezelést. Az olyan eszközök, mint az AWS Incident Manager, Azure Sentinel és mások kulcsszerepet játszanak ennek a láthatóságnak a biztosításában, segítve a szervezeteket a hibás konfiguráció korai észlelésében és a robusztus irányítási modellek bevezetésében.

Felhőbiztonsági szakzsargonok dekódolása

A felhőtechnológia gyors ütemű fejlődése gyakran új terminológiákat és mozaikszavakat vezet be. A panellisták a CWPP-től (Cloud Workload Protection Platform) kezdve a CSPP-ig (Cloud Security Posture Management) és végül a CNAPP-ig (Cloud Native Application Protection Platform) vezették körbe a résztvevőket ezekről a körútról. A kettő közötti átfogó téma a biztonság és a megfelelőség biztosítása volt a gyorsan fejlődő felhőkörnyezetben.

„Értse meg az alapvető használati eseteket” – hangsúlyozta a testület, hozzátéve, hogy a betűszótól függetlenül mindig az adatok védelmére, a vezérlési síkokra és a robusztus felhőbiztonság biztosítására kell összpontosítani.

Az Alert Fatigue Challenge

Bár a szerszámok rendelkezésre állása elengedhetetlen, Anand rámutatott az igazi kihívásra: „Az éber fáradtság valós.” 

A biztonsági rendszerek eláraszthatják a csapatokat riasztásokkal, aminek következtében elveszítik a valódi fenyegetésekre való összpontosítást a téves pozitív üzenetek tengere közepette. Ezért kulcsfontosságú nemcsak az eszközök bevezetése, hanem annak biztosítása is, hogy azokat úgy alakítsák ki, hogy gyakorlati betekintést nyújtsanak a biztonsági személyzet túlterhelése nélkül.

A MAS körlevélben való elmélyülés a felhőbe való átvételről

A Szingapúri Monetáris Hatóság új körlevele a szingapúri szervezetek felhőalapú bevezetéséről volt a webinárium fő fókuszpontja. A körlevél hangsúlyozza a szingapúri pénzügyi szolgáltatási ágazat gyors migrációját a felhőplatformokra. 

Amint Paul Hadjy megjegyezte, bár a MAS körlevél nem feltétlenül részletez minden betűszót, hangsúlyozza a hatékony megoldások, folyamatok és hatásmérséklő stratégiák fontosságát. A körlevél célja összhangban van annak biztosításával, hogy a szabályozott entitások fenntartsák a legmagasabb szintű felhőbiztonságot.

Hogyan hatnak a MAS nyilvános felhőre vonatkozó irányelvei a cégekre

Paul hangsúlyozta a felhőfejlesztésen belüli hibás konfigurációk megértésének fontosságát, kiemelve az értéket a felhőben A MAS nyilvános felhőre vonatkozó irányelvei. Azt mondta: "A fejlesztők, ha tudják, honnan származik a sok helytelen konfiguráció, nagyon befolyásosak és fontosak lehetnek." Paul szerint az irányelvek elengedhetetlen olvasmányok az iparág minden szereplője számára, különösen azok számára, akik a felhő technikai vonatkozásaival foglalkoznak.

A panel résztvevői rávilágítanak az irányelvek tágabb vonatkozásaira. Felhívta a figyelmet annak fontosságára, hogy ne csak a jelenlegi iparági szereplők, hanem a fintech szektor kezdő vállalkozói is megismerkedjenek ezekkel az irányelvekkel. 

A fintech iparág virágzó növekedéséről szólva a testület azt mondta: „Az üzletág dinamikája egyértelműen a felhő felé mutat.” Szerintük a beruházásokat a felhőalapú biztonsági eljárások felé kell irányítani, hangsúlyozva a felhő alapú munka jelentőségét, legyen szó információkezelésről, munkafolyamatról vagy követelésekről.

Ivy, az AWS Professional Services ASEAN-beli biztonsági vezetője a biztonsági testtartás javításáról beszélt. Szerinte a szabályozási követelményeket csak a kezdetnek kell tekinteni. 

A vállalkozásoknak törekedniük kell a biztonsági kultúra korai kiépítésére, mivel ez hosszú távon előnyös lenne számukra. Megemlítette, hogy sok vállalat ma már az értékesítést elősegítő tényezőnek tekinti a biztonságot, ami Ázsiában egyre inkább elterjedt.

Ivy három kezdeti lépést sorolt ​​fel a szabályozott pénzügyi szervezetek számára, hogy elindítsák felhőbiztonsági programjukat. Az egyik az üzleti célok összehangolása a felhő biztonsági érettségi szintjével.

A második a felhőszolgáltatók által kínált kiterjedt erőforrások kihasználása. Harmadszor pedig a láthatóság kezdettől fogva elengedhetetlen a kockázatok időben történő észleléséhez és kezeléséhez.

Anand Nirgudkar, a CardUp műszaki igazgatója holisztikus nézetet mutatott be, és a felhővándorlás élményét először hullámvasúton való utazáshoz hasonlította. Megismételte az alapos felfedezési folyamat és a felhőszolgáltatók által nyújtott segítség kihasználásának fontosságát. 

Sőt, Anand hangsúlyozta a fenyegetésmodellezés szükségességét és a „kapuk” helyett „védőkorlátok” létrehozásának előnyeit.

Arra is bátorította a közösséget, hogy fedezze fel az AWS 2016-os Cloud Adoption Framework-jét, amely átfogó útmutatást nyújt, amely hasznos lehet, függetlenül attól, hogy melyik felhőszolgáltatót használja.

A felhőbiztonság pillérei

A panel a hatékony felhőbiztonsági program három alappillérének azonosításával kezdte. Először is, a végpontok biztonsága kiemelkedő fontosságú, különösen a gyakori támadásoknak kitett iparágakban, például a kriptovaluta szektorban. 

Másodszor, kiemelték az adatvesztés megelőzését (DLP). Ahogy a munkaerő bővül és távolról működik, az adatszivárgás kiemelt probléma lett. A kulcsfontosságú információkhoz való hozzáférés biztosítása a biztonság veszélyeztetése nélkül olyan mechanizmusok révén, mint az egyszeri bejelentkezés vagy a kéttényezős hitelesítés.

Az utolsó pillér a kiberhigiénia körül forgott. Ahogy a szervezetek növekednek, a helyes kiberbiztonsági gyakorlatok kultúrájának meghonosítása elengedhetetlenné válik. Biztosítani kell, hogy a régi és az új alkalmazottak is legyenek a lehetséges fenyegetésekről való megfelelő tájékoztatás kulcsfontosságú.

Áttérés a felhőbe: hol kezdjem?

A felhőre való átállás mérlegelésekor a „hol kezdjem” kérdéssel Anand Nirgudkar és Ivy Young is foglalkozott. Anand hangsúlyozta az eszközök megértésének és rangsorolásának fontosságát, mielőtt bármilyen migrációs döntést hozna. Az egyes eszközök lehetséges migrációjával kapcsolatos kockázaton és üzleti hatásokon alapuló értékelés mellett foglalt állást. 

Hasonló érzelmeket visszhangozva Ivy az üzleti célok jelentőségét emelte ki. Kezdve a kevésbé kritikus eszközök áttelepítésével a tapasztalatszerzés érdekében, majd a kritikusabb munkaterhelések fokozatos átállását javasolták, ezáltal növelve a bizalmat és kialakítva a gyakorlati tanulási környezetet.

A MAS nyilvános felhőre vonatkozó irányelvei: A legfontosabb tudnivalók

Az egyik legsürgetőbb kérdés a MAS nyilvános felhő irányelvei által előidézett változásokhoz kapcsolódott. Anand pontosan összefoglalta az irányelvek lényeges elemeit. 

Méltatta a MAS-t átfogó körleveléért, amely a különböző szolgáltatási modellek bevezetésétől, a megosztott felelősségi köröktől, az identitás- és hozzáférés-kezeléstől, a munkaterhelés-biztonsági megközelítésektől és a zéró bizalmi biztonsági elvekig terjedő szempontokat vizsgálja. 

Az irányelvek a folyamatos tesztelést, az adatbiztonságot, a kulcskezelést és egyebeket is támogatják. A kockázatalapú biztonsági megközelítés hangsúlyozása képezi az egész körlevél gerincét, hangsúlyozva a felhőbiztonság kiegyensúlyozott, pragmatikus megközelítésének fontosságát.

Felhő, mint üzleti követelmény

Bár az idő szűkössége miatt nem lehetett minden kérdést megválaszolni, a paneltagok által megosztott meglátások felbecsülhetetlen értékű tanulást kínálnak. A „Hogyan hatnak rád a MAS új nyilvános felhőre vonatkozó irányelvei” webinárium hangsúlyozta, hogy a felhő alkalmazása és biztonsága nem puszta informatikai döntések, hanem a mai digitális korszakban elengedhetetlen üzleti követelmények. 

Míg az új MAS-irányelvek további összetettséget vezetnek be, egyúttal a fokozott biztonság, átláthatóság és bizalom korszakát is bevezetik. Ahogy a szervezetek eligazodnak ezekben az irányelvekben, a felhőalapú bevezetés és a biztonság átfogó, stratégiai és proaktív megközelítése nemcsak ajánlott, hanem elengedhetetlen.

Nézze meg az igény szerinti webináriumot Ezen a linken betekintést nyerni.

A Horangi részt vesz a közelgő Szingapúri Fintech Fesztiválon, amely november 15. és 17. között zajlik. Tudjon meg többet a standjukon való részvételükről itt.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/