MAS Public Cloud Guidelines: A Deep Dive into its Impact on Cloud Security – Fintech Singapore

Midt i en raskt digitaliserende verden, akselerert ytterligere av COVID-19-pandemien, har skyteknologi blitt en sentral hjørnestein for virksomheter over hele verden. Nylig introduserte Monetary Authority of Singapore (MAS) et sirkulære med offentlige skyretningslinjer angående cyberrisikoen knyttet til vedtakelsen, som påvirker både finans- og teknologisektoren. 

Utviklingen av skyteknologi har omformet måten tidligere landlåste firmaer opererer på. Behovet for økt skysikkerhet, spesielt innenfor den strengt regulerte fintech-industrien som kan ha vidtrekkende implikasjoner, har aldri vært større. 

Det nylige nettseminaret med tittelen 'Hvordan de nye MAS Public Cloud-retningslinjene påvirker deg', moderert av cybersikkerhetsspesialisten Horangis administrerende direktør, Paul Hadjy, samlet bransjeeksperter for å kaste lys over de oppdaterte retningslinjene satt av Monetary Authority of Singapore (MAS). 

Paneldeltakerne inkluderte Anand Nirgudkar, CTO for betalingsfintech CardUp og Ivy Young, sikkerhetssjef ved AWS Professional Services, ASEAN.

Denne sentrale diskusjonen, med noen av bransjens fremste eksperter som tilbyr et helhetlig syn på det offentlige skylandskapet i forhold til retningslinjer satt av MAS, dykker ned i implikasjonene og hva de betyr for organisasjoner.

Utnytte kraften i skyen

Skyens allestedsnærvær de siste årene har ikke gått tapt på paneldeltakerne. Fra å sikre 24/7 oppetid til å gi markedsdatatilgang, skyinfrastruktur er ryggraden i deres operasjoner.

I mellomtiden fremhevet Anand, som snakket om CardUps erfaring, selskapets sky-første-etos, og pekte på PCI DSS-overholdelse, arkitektonisk beste praksis og regional vekst som nøkkelmotivatorer for deres skyavhengighet.

Utfordringen med skysikkerhet

Til tross for de enorme fordelene som skyteknologi gir, er de iboende utfordringene den utgjør, spesielt på sikkerhetsområdet, bemerkelsesverdige. En slik utfordring er feilkonfigurering. Anand understreker dynamikken i skysikkerhet og siterer den beryktede Capital One-hendelsen som en sterk påminnelse om hvordan enkle feilkonfigurasjoner kan føre til betydelige brudd.

Det handler imidlertid ikke bare om feilkonfigurering. Som påpekt i MAS-retningslinjene, er identitets- og tilgangsstyring fortsatt viktig. Paul understreket viktigheten av å ha robuste kontroller på plass, spesielt med ombord- og avstigningspraksis.

Reflekterer over nylige brudd av DeFi-protokollene Harbor og Exactly i separate angrep, minnet panelet om motivene som driver angripere. Når det er mer å vinne, trekkes angripernes oppmerksomhet alltid. Som sådan, mens skyinfrastruktur tilbyr uovertrufne fordeler, har innsatsen aldri vært høyere.

Modellen for delt ansvar

Et kjernetema for diskusjon sentrert rundt "delt ansvarsmodellen". Ivy Young bemerket: "Noe grunnleggende her, når vi vurderer sikkerhet, er en delt ansvarsmodell." 

Denne modellen understreker ansvarsfordelingen mellom skyleverandører og deres kunder. Mens skyleverandører sørger for sikkerheten til skyen, må kundene sikre det de legger i skyen, det være seg data eller applikasjoner.

Ivy påpekte videre at det er viktig å forstå modellen med delt ansvar. Utfordringen oppstår imidlertid når denne forståelsen ikke slår ut i daglig drift og prosesser. Følgelig kan feilkonfigurasjoner eller styringshull dukke opp.

Synlighet i skyinfrastruktur

Anand fremhevet viktigheten av synlighet i skyinfrastruktur. "Det grunnleggende aspektet ved om du ønsker å sikre data eller forhindre noe er synlighetsaspektet," kommenterte han. 

Å ha omfattende tilsyn sikrer effektiv forebygging, deteksjon og hendelseshåndtering skreddersydd for skyen. Verktøy som AWSs Incident Manager, Azure Sentinel og andre spiller en sentral rolle i å tilby denne synligheten, og hjelper organisasjoner med å oppdage feilkonfigurasjoner tidlig og implementere robuste styringsmodeller.

Dekoding av Cloud Security Jargons

Den raske utviklingen av skyteknologi introduserer ofte nye terminologier og akronymer. Paneldeltakerne tok deltakerne med på en virvelvindtur i disse, og startet med CWPP (Cloud Workload Protection Platform) til CSPP (Cloud Security Posture Management) og til slutt CNAPP (Cloud Native Application Protection Platform). Det overordnede temaet mellom hver, var å sikre sikkerhet og samsvar i det raskt utviklende skymiljøet.

"Forstå kjernebrukssakene," understreket panelet, og la til at uansett akronym, bør fokus alltid være på å beskytte data, kontrollere fly og sikre robust skysikkerhet.

Alert Fatigue Challenge

Selv om det er essensielt å ha verktøy på plass, påpekte Anand den virkelige utfordringen: "Alert fatigue is real." 

Sikkerhetssystemer kan oversvømme team med varsler, noe som fører til tap av fokus på ekte trusler midt i et hav av falske positiver. Derfor er det avgjørende ikke bare å implementere verktøy, men også å sikre at de er skreddersydd for å gi handlingskraftig innsikt uten overveldende sikkerhetspersonell.

Dykk inn i MAS-sirkulæret om skyadopsjon

Monetary Authority of Singapores nye rundskriv om skyadopsjon for singaporske organisasjoner var hovedfokuspunktet for webinaret. Rundskrivet understreker den raske migreringen av finansnæringen i Singapore til skyplattformer. 

Som Paul Hadjy observerte, mens MAS-sirkulæret kanskje ikke beskriver alle akronymer, understreker det viktigheten av å ha effektive løsninger, prosesser og avbøtende strategier på plass. Rundskrivets mål er på linje med å sikre at regulerte enheter opprettholder de høyeste standardene for skysikkerhet.

Hvordan MAS Public Cloud-retningslinjene påvirker bedrifter

Paul understreket viktigheten av å forstå feilkonfigurasjonene innen skyutvikling, og fremhevet verdien i MAS offentlige skyretningslinjer. Han sa: "Utviklere, som vet hvor mye av feilkonfigurasjonene kommer fra, kan være veldig innflytelsesrike og viktige." Retningslinjene, ifølge Paul, er en viktig lesning for alle i bransjen, spesielt de som er involvert i skyens tekniske aspekter.

Paneldeltakerne belyser de bredere implikasjonene av retningslinjene. Han påpekte viktigheten av at ikke bare nåværende bransjeaktører, men også spirende gründere i fintech-sektoren, gjør seg kjent med disse retningslinjene. 

Når vi snakker om fintech-industriens spirende vekst, sa panelet: "Dynamikken i hvor virksomheten går er definitivt mot skyen." De mener at investeringer bør rettes mot skysikkerhetsprosedyrer, og understreker betydningen av skybasert arbeid, enten det involverer informasjonshåndtering, arbeidsflyt eller krav.

Ivy, sikkerhetssjefen ved AWS Professional Services i ASEAN, snakket om å forbedre ens sikkerhetsstilling. Ifølge henne bør regulatoriske krav sees på som bare begynnelsen. 

Bedrifter bør ha som mål å bygge en sikkerhetskultur tidlig, da dette vil komme dem til gode i det lange løp. Hun nevnte at mange selskaper nå ser på sikkerhet som en salgsmuliggjører, et perspektiv som blir stadig mer utbredt i Asia.

Ivy oppregnet tre innledende trinn for regulerte finansielle enheter for å starte skysikkerhetsprogrammet deres. Den ene er å tilpasse forretningsmålene med skyens sikkerhetsmodenhetsnivåer.

Den andre er å utnytte de omfattende ressursene som tilbys av skytjenesteleverandører. Og for det tredje er det avgjørende å etablere synlighet fra begynnelsen for å oppdage og håndtere risikoer i tide.

Anand Nirgudkar, CTO i CardUp, tilbød et helhetlig syn, og sammenlignet opplevelsen av skymigrasjon med å kjøre en berg-og-dal-bane for første gang. Han gjentok viktigheten av en grundig oppdagelsesprosess og å utnytte hjelpen fra skytjenesteleverandører. 

Dessuten understreket Anand nødvendigheten av trusselmodellering og fordelene ved å lage "rekkverk" i stedet for "porter".

Han oppfordret også fellesskapet til å utforske AWSs Cloud Adoption Framework fra 2016, som gir omfattende veiledning som kan være fordelaktig, uavhengig av hvilken spesifikk skytjenesteleverandør man bruker.

Forstå pilarene i skysikkerhet

Panelet begynte med å identifisere tre grunnpilarer for et effektivt skysikkerhetsprogram. For det første er endepunktsikkerhet av største betydning, spesielt i bransjer som er utsatt for hyppige angrep, for eksempel kryptovalutasektoren. 

For det andre satte de søkelyset på forebygging av datatap (DLP). Ettersom arbeidsstyrker utvides og opererer eksternt, har datalekkasje blitt en fremtredende bekymring. Å sikre tilgang til viktig informasjon uten å kompromittere sikkerheten gjennom mekanismer som enkeltpålogging eller tofaktorautentisering er avgjørende.

Den siste søylen dreide seg om cyberhygiene. Etter hvert som organisasjoner vokser, blir det uunnværlig å skape en kultur med god nettsikkerhetspraksis. Sørge for at ansatte, både gamle og nye, er det godt informert om potensielle trusler er avgjørende.

Overgang til skyen: Hvor skal jeg begynne?

Da de vurderte å gå over til nettskyen, ble spørsmålet "hvor å begynne" tatt opp av både Anand Nirgudkar og Ivy Young. Anand understreket viktigheten av å forstå og rangere eiendeler før du tar noen migrasjonsbeslutninger. Han tok til orde for en vurdering basert på risikoen og forretningseffekten knyttet til potensiell migrering av hver eiendel. 

Som et ekko av lignende følelser, pekte Ivy ut betydningen av forretningsmål. Det ble anbefalt å begynne med å migrere mindre kritiske eiendeler for å bygge erfaring, og deretter gradvis overgang til mer kritiske arbeidsbelastninger, og dermed fremme tillit og dyrke et praktisk læringsmiljø.

MAS Public Cloud-retningslinjer: Viktige ting

Et av de mest presserende spørsmålene var knyttet til endringene som ble medført av MAS offentlige skyretningslinjer. Anand ga en artikulert oppsummering av de vesentlige elementene i retningslinjene. 

Han berømmet MAS for dets omfattende rundskriv, som fordyper seg i aspekter som spenner fra introduksjon av ulike tjenestemodeller, delt ansvar, identitets- og tilgangsadministrasjon, arbeidsbelastningssikkerhetstilnærminger og null-tillit-sikkerhetsprinsipper. 

Retningslinjene tar også til orde for kontinuerlig testing, datasikkerhet, nøkkelhåndtering og mer. En vektlegging av en risikobasert sikkerhetstilnærming utgjør ryggraden i hele rundskrivet, og understreker viktigheten av en balansert, pragmatisk tilnærming til skysikkerhet.

Sky som forretningsimperativ

Selv om ikke alle spørsmål kunne løses på grunn av tidsbegrensninger, gir innsikten som deles av paneldeltakerne uvurderlig læring. De "Hvordan de nye MAS Public Cloud-retningslinjene påvirker deg" nettseminar understreket hvordan bruken og sikkerheten til skyen ikke bare er IT-beslutninger, men er kritiske forretningsimperativer i dagens digitale tidsalder. 

Mens de nye MAS-retningslinjene introduserer et ekstra lag av kompleksitet, innleder de også en æra med økt sikkerhet, åpenhet og tillit. Når organisasjoner navigerer i disse retningslinjene, er en omfattende, strategisk og proaktiv tilnærming til skyadopsjon og sikkerhet ikke bare anbefalt, men viktig.

Se webinaret på forespørsel På denne lenken for å få innsikt.

Horangi vil delta på den kommende Singapore Fintech Festival som finner sted fra 15. til 17. november. Lær mer om deres standdeltakelse her..

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/