Wytyczne MAS dotyczące chmury publicznej: szczegółowe omówienie ich wpływu na bezpieczeństwo chmury – Fintech Singapore

W szybko cyfryzującym się świecie, dodatkowo przyspieszonym przez pandemię Covid-19, technologia chmury stała się kamieniem węgielnym przedsiębiorstw na całym świecie. Niedawno władze monetarne Singapuru (MAS) wprowadziły okólnik zawierający wytyczne dotyczące chmury publicznej dotyczące zagrożeń cybernetycznych związanych z jej przyjęciem, mających wpływ zarówno na sektor finansowy, jak i technologiczny. 

Ewolucja technologii chmurowej zmieniła sposób, w jaki działają wcześniej firmy śródlądowe. Potrzeba zwiększonego bezpieczeństwa w chmurze, zwłaszcza w ściśle regulowanej branży fintech, która może mieć daleko idące konsekwencje, nigdy nie była większa. 

Niedawne webinarium pt.Jaki wpływ mają na Ciebie nowe wytyczne MAS dotyczące chmury publicznej?”, moderowana przez dyrektora generalnego Horangi, specjalistę ds. cyberbezpieczeństwa, Paula Hadjy’ego, zgromadziła ekspertów branżowych, aby rzucić światło na zaktualizowane wytyczne określone przez władze monetarne Singapuru (MAS). 

Panelistami byli Anand Nirgudkar, dyrektor ds. technicznych płatności fintech CardUp i Ivy Young, dyrektor ds. bezpieczeństwa w AWS Professional Services, ASEAN.

Ta kluczowa dyskusja, w której uczestniczyli najwybitniejsi eksperci z branży, oferujący całościowe spojrzenie na krajobraz chmury publicznej w odniesieniu do wytyczne określone przez MAS, zagłębia się w jego konsekwencje i znaczenie dla organizacji.

Wykorzystanie mocy chmury

Paneliści nie umknęli wszechobecności chmury w ostatnich latach. Od zapewnienia dostępności przez całą dobę, 24 dni w tygodniu po dostęp do danych rynkowych – infrastruktura chmurowa stanowi podstawę ich działalności.

Tymczasem Anand, wypowiadając się na temat doświadczeń CardUp, podkreślił etos firmy stawiający na chmurę, wskazując zgodność ze standardem PCI DSS, najlepsze praktyki architektoniczne i rozwój regionalny jako kluczowe czynniki motywujące ich uzależnienie od chmury.

Wyzwanie bezpieczeństwa w chmurze

Pomimo ogromnych korzyści, jakie oferuje technologia chmury, godne uwagi są nieodłączne wyzwania, jakie ona stwarza, szczególnie w dziedzinie bezpieczeństwa. Jednym z takich wyzwań jest błędna konfiguracja. Anand podkreśla dynamikę bezpieczeństwa chmury i przytacza osławiony incydent w Capital One jako wyraźne przypomnienie tego, jak proste błędne konfiguracje mogą prowadzić do poważnych naruszeń.

Jednak nie chodzi tylko o błędną konfigurację. Jak wskazano w wytycznych MAS, zarządzanie tożsamością i dostępem pozostaje sprawą najwyższej wagi. Paul podkreślił znaczenie posiadania solidnych kontroli, szczególnie w przypadku praktyk związanych z wdrażaniem i opuszczaniem pracowników.

Zastanawiając się nad niedawne naruszenia protokołów DeFi Harbour i Dokładnie w oddzielnych atakach panel przypomniał o motywach kierujących atakującymi. Kiedy można zyskać więcej, uwaga atakujących jest niezmiennie przykuwana. W związku z tym chociaż infrastruktura chmurowa oferuje niezrównane korzyści, stawka nigdy nie była wyższa.

Model wspólnej odpowiedzialności

Główny temat dyskusji skupiał się wokół „modelu wspólnej odpowiedzialności”. Ivy Young zauważyła: „Kiedy rozważamy bezpieczeństwo, czymś fundamentalnym jest model wspólnej odpowiedzialności”. 

Model ten kładzie nacisk na podział odpowiedzialności pomiędzy dostawcami usług chmurowych i ich klientami. Podczas gdy dostawcy usług w chmurze zapewniają bezpieczeństwo chmury, klienci muszą zabezpieczyć to, co umieszczają w chmurze, niezależnie od tego, czy są to dane, czy aplikacje.

Ivy wskazała ponadto, że zrozumienie modelu wspólnej odpowiedzialności jest niezbędne. Jednak wyzwanie pojawia się, gdy to zrozumienie nie przekłada się na codzienne operacje i procesy. W rezultacie mogą pojawić się błędne konfiguracje lub luki w zarządzaniu.

Widoczność w infrastrukturze chmurowej

Anand podkreślił znaczenie widoczności w infrastrukturze chmurowej. „Podstawowym aspektem decydującym o tym, czy chcesz zabezpieczyć dane, czy czemukolwiek zapobiec, jest aspekt widoczności” – skomentował. 

Kompleksowy nadzór zapewnia skuteczne zapobieganie, wykrywanie i zarządzanie incydentami dostosowane do chmury. Narzędzia takie jak Incident Manager AWS, Azure Sentinel i inne odgrywają kluczową rolę w zapewnianiu tej widoczności, pomagając organizacjom wcześnie wykrywać błędne konfiguracje i wdrażać niezawodne modele zarządzania.

Dekodowanie żargonu dotyczącego bezpieczeństwa w chmurze

Szybka ewolucja technologii chmury często wprowadza nowe terminologie i akronimy. Paneliści zabrali uczestników w burzliwą wycieczkę po nich, zaczynając od CWPP (Cloud Workload Protection Platform), poprzez CSPP (Cloud Security Posture Management), a na końcu CNAPP (Cloud Native Application Protection Platform). Nadrzędnym tematem każdego z nich było zapewnienie bezpieczeństwa i zgodności w szybko rozwijającym się środowisku chmurowym.

„Zrozum podstawowe przypadki użycia” – podkreślił panel, dodając, że niezależnie od akronimu, zawsze należy skupiać się na ochronie danych, płaszczyznach kontroli i zapewnieniu solidnego bezpieczeństwa w chmurze.

Wyzwanie ostrzegawczego zmęczenia

Chociaż posiadanie narzędzi jest niezbędne, Anand wskazał na prawdziwe wyzwanie: „Zmęczenie czujnością jest prawdziwe”. 

Systemy bezpieczeństwa mogą zasypywać zespoły alertami, co prowadzi do utraty koncentracji na rzeczywistych zagrożeniach pośród morza fałszywych alarmów. Dlatego tak ważne jest nie tylko wdrożenie narzędzi, ale także upewnienie się, że są one dostosowane do dostarczania praktycznych spostrzeżeń bez przytłaczania personelu odpowiedzialnego za bezpieczeństwo.

Zagłębienie się w okólnik MAS dotyczący wdrożenia chmury

Głównym punktem seminarium internetowego był nowy okólnik władz monetarnych Singapuru dotyczący przyjęcia chmury w organizacjach singapurskich. W okólniku podkreślono szybką migrację branży usług finansowych w Singapurze do platform chmurowych. 

Jak zauważył Paul Hadjy, chociaż okólnik MAS może nie zawierać szczegółów wszystkich akronimów, podkreśla on znaczenie posiadania skutecznych rozwiązań, procesów i strategii łagodzenia skutków. Cel okólnika jest zgodny z zapewnieniem, że podmioty objęte regulacją utrzymują najwyższe standardy bezpieczeństwa w chmurze.

Jak wytyczne MAS dotyczące chmury publicznej wpływają na firmy

Paul podkreślił znaczenie zrozumienia błędnych konfiguracji w rozwoju chmury, podkreślając wartość Wytyczne MAS dotyczące chmury publicznej. Powiedział: „Programiści, wiedząc, skąd bierze się wiele błędnych konfiguracji, mogą być bardzo wpływowi i ważni”. Według Paula wytyczne są niezbędną lekturą dla wszystkich osób w branży, zwłaszcza tych zajmujących się technicznymi aspektami chmury.

Paneliści rzucają światło na szersze implikacje wytycznych. Podkreślił znaczenie zapoznania się z tymi wytycznymi nie tylko dla obecnych graczy w branży, ale także początkujących przedsiębiorców w sektorze fintech. 

Mówiąc o rosnącym rozwoju branży fintech, panel stwierdził: „Dynamika rozwoju biznesu zdecydowanie zmierza w stronę chmury”. Uważają, że inwestycje powinny być ukierunkowane na procedury bezpieczeństwa w chmurze, podkreślając znaczenie pracy w chmurze, niezależnie od tego, czy dotyczy ona obsługi informacji, przepływu pracy czy roszczeń.

Ivy, dyrektor ds. bezpieczeństwa w AWS Professional Services w ASEAN, mówiła o poprawie poziomu bezpieczeństwa. Jej zdaniem wymogi regulacyjne należy traktować jako dopiero początek. 

Firmy powinny dążyć do zbudowania kultury bezpieczeństwa już na wczesnym etapie, ponieważ przyniesie im to korzyści w dłuższej perspektywie. Wspomniała, że ​​wiele firm postrzega obecnie bezpieczeństwo jako czynnik umożliwiający sprzedaż, a perspektywa ta staje się coraz bardziej powszechna w Azji.

Ivy wymieniła trzy początkowe kroki, które muszą wykonać regulowane podmioty finansowe, aby rozpocząć program bezpieczeństwa w chmurze. Jednym z nich jest dostosowanie celów biznesowych do poziomów dojrzałości zabezpieczeń chmury.

Drugim jest wykorzystanie rozbudowanych zasobów oferowanych przez dostawców usług chmurowych. Po trzecie, zapewnienie widoczności od samego początku ma kluczowe znaczenie dla wczesnego wykrywania zagrożeń i reagowania na nie.

Anand Nirgudkar, dyrektor techniczny CardUp, przedstawił całościowe spojrzenie, porównując doświadczenie migracji do chmury do pierwszej jazdy kolejką górską. Powtórzył znaczenie dokładnego procesu wykrywania i wykorzystania pomocy zapewnianej przez dostawców usług w chmurze. 

Ponadto Anand podkreślił konieczność modelowania zagrożeń i korzyści płynące z tworzenia „poręczy ochronnych”, a nie „bram”.

Zachęcał także społeczność do zapoznania się z platformą AWS Cloud Adoption Framework z 2016 r., która zapewnia kompleksowe wskazówki, które mogą być przydatne niezależnie od konkretnego dostawcy usług w chmurze, z którego się korzysta.

Zrozumienie filarów bezpieczeństwa w chmurze

Panel rozpoczął się od zidentyfikowania trzech filarów stanowiących podstawę skutecznego programu bezpieczeństwa w chmurze. Po pierwsze, bezpieczeństwo punktów końcowych ma ogromne znaczenie, szczególnie w branżach podatnych na częste ataki, takich jak sektor kryptowalut. 

Po drugie, zwrócili uwagę na zapobieganie utracie danych (DLP). W miarę zwiększania się siły roboczej i pracy zdalnej wyciek danych stał się poważnym problemem. Zapewnienie dostępu do kluczowych informacji bez narażania bezpieczeństwa za pomocą mechanizmów takich jak jednokrotne logowanie lub uwierzytelnianie dwuskładnikowe ma kluczowe znaczenie.

Ostatni filar dotyczył higieny cybernetycznej. W miarę rozwoju organizacji niezbędne staje się zaszczepianie kultury dobrych praktyk w zakresie cyberbezpieczeństwa. Zapewnienie, że pracownicy, zarówno starzy, jak i nowi, są dobra informacja o potencjalnych zagrożeniach jest kluczowa.

Przejście do chmury: od czego zacząć?

Rozważając przejście do chmury, pytanie „od czego zacząć” zadali sobie zarówno Anand Nirgudkar, jak i Ivy Young. Anand podkreślił znaczenie zrozumienia i rankingu zasobów przed podjęciem jakichkolwiek decyzji o migracji. Opowiadał się za oceną opartą na ryzyku i wpływie na działalność gospodarczą związaną z potencjalną migracją każdego aktywa. 

Powtarzając podobne opinie, Ivy podkreśliła znaczenie celów biznesowych. Zalecono rozpoczęcie od migracji mniej krytycznych zasobów w celu zdobycia doświadczenia, a następnie stopniowe przenoszenie bardziej krytycznych obciążeń, zwiększając w ten sposób pewność siebie i kultywując praktyczne środowisko uczenia się.

Wytyczne MAS dotyczące chmury publicznej: najważniejsze wnioski

Jedno z najbardziej palących pytań dotyczyło zmian, jakie niosą ze sobą wytyczne MAS dotyczące chmury publicznej. Anand przedstawił przejrzyste podsumowanie zasadniczych elementów wytycznych. 

Pochwalił firmę MAS za kompleksowy okólnik, w którym omówiono różne aspekty, od wprowadzenia różnych modeli usług, wspólnych obowiązków, zarządzania tożsamością i dostępem, podejść do bezpieczeństwa obciążeń roboczych i zasad bezpieczeństwa zerowego zaufania. 

Wytyczne zalecają także ciągłe testowanie, bezpieczeństwo danych, zarządzanie kluczami i nie tylko. Nacisk na podejście do bezpieczeństwa oparte na ryzyku stanowi podstawę całego okólnika, podkreślając znaczenie zrównoważonego, pragmatycznego podejścia do bezpieczeństwa chmury.

Chmura jako imperatyw biznesowy

Choć nie wszystkie pytania mogły zostać uwzględnione ze względu na ograniczenia czasowe, spostrzeżenia przekazane przez panelistów dostarczyły bezcennej wiedzy. The Webinarium „Jak nowe wytyczne MAS dotyczące chmury publicznej wpływają na Ciebie”. podkreśliło, że przyjęcie i bezpieczeństwo chmury to nie tylko decyzje IT, ale krytyczne imperatywy biznesowe w dzisiejszej epoce cyfrowej. 

Chociaż nowe wytyczne MAS wprowadzają dodatkową warstwę złożoności, rozpoczynają także erę zwiększonego bezpieczeństwa, przejrzystości i zaufania. W miarę jak organizacje postępują zgodnie z tymi wytycznymi, kompleksowe, strategiczne i proaktywne podejście do wdrażania chmury i bezpieczeństwa jest nie tylko zalecane, ale wręcz niezbędne.

Obejrzyj seminarium internetowe na żądanie na tym ogniwie aby uzyskać wgląd.

Horangi weźmie udział w nadchodzącym Singapore Fintech Festival, który odbędzie się w dniach 15-17 listopada. Dowiedz się więcej o udziale w ich stoisku tutaj.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/