Рекомендации MAS по публичному облаку: глубокое изучение его влияния на облачную безопасность – Fintech Singapore

В условиях стремительной цифровизации мира, ускоренной пандемией COVID-19, облачные технологии стали краеугольным камнем для бизнеса во всем мире. Недавно Валютное управление Сингапура (MAS) представило циркуляр с рекомендациями по общедоступным облакам, касающимися киберрисков, связанных с его внедрением, которые в равной степени влияют на финансовый и технологический секторы. 

Эволюция облачных технологий изменила методы работы компаний, ранее не имевших выхода к морю. Потребность в усиленной облачной безопасности, особенно в жестко регулируемой индустрии финансовых технологий, которая может иметь далеко идущие последствия, никогда не была такой острой. 

Недавний вебинар под названием «Как новые рекомендации MAS по публичному облаку повлияют на вас', модератором которого выступил специалист по кибербезопасности, генеральный директор Horangi Пол Хаджи, собрал экспертов отрасли, чтобы пролить свет на обновленные рекомендации, установленные Валютным управлением Сингапура (MAS). 

Среди участников дискуссии были Ананд Ниргудкар, технический директор по платежным технологиям CardUp и Айви Янг, руководитель службы безопасности AWS Professional Services, АСЕАН.

Это ключевое обсуждение, в котором принимают участие ведущие эксперты отрасли, предлагающие целостное представление о ландшафте общедоступных облаков применительно к руководящие принципы, установленные MAS, углубляется в его последствия и то, что они означают для организаций.

Использование силы облака

Вездесущность облаков в последние годы не ускользнула от внимания участников дискуссии. Облачная инфраструктура является основой их деятельности: от обеспечения круглосуточной безотказной работы до предоставления доступа к рыночным данным.

Тем временем Ананд, рассказывая об опыте CardUp, подчеркнул приверженность компании облачным технологиям, указав на соблюдение требований PCI DSS, передовые практики в области архитектуры и региональный рост как на ключевые мотиваторы их зависимости от облачных технологий.

Проблема облачной безопасности

Несмотря на огромные преимущества, предлагаемые облачными технологиями, заслуживают внимания присущие им проблемы, особенно в сфере безопасности. Одной из таких проблем является неправильная конфигурация. Ананд подчеркивает динамизм облачной безопасности и ссылается на пресловутый инцидент с Capital One как на суровое напоминание о том, как простые неправильные настройки могут привести к серьезным нарушениям.

Однако дело не только в неправильной настройке. Как указано в рекомендациях MAS, управление идентификацией и доступом остается первостепенным. Пол подчеркнул важность наличия надежного контроля, особенно в отношении практики адаптации и увольнения.

Размышляя о недавние нарушения протоколов DeFi Harbour и Exactly в отдельных атаках, панель напомнила о мотивах, движущих злоумышленниками. Когда есть что-то большее, внимание злоумышленников неизменно притягивается. Таким образом, хотя облачная инфраструктура предлагает беспрецедентные преимущества, ставки никогда не были такими высокими.

Модель общей ответственности

Основная тема обсуждения была сосредоточена вокруг «модели совместной ответственности». Айви Янг заметила: «Что-то основополагающее здесь, когда мы рассматриваем безопасность, — это модель совместной ответственности». 

Эта модель подчеркивает разделение ответственности между поставщиками облачных услуг и их клиентами. В то время как поставщики облачных услуг обеспечивают безопасность облака, клиенты должны защищать то, что они помещают в облако, будь то данные или приложения.

Айви далее отметила, что понимание модели совместной ответственности имеет важное значение. Однако проблема возникает, когда это понимание не воплощается в ежедневных операциях и процессах. Следовательно, могут возникнуть неправильные конфигурации или пробелы в управлении.

Видимость в облачной инфраструктуре

Ананд подчеркнул важность прозрачности облачной инфраструктуры. «Основной аспект того, хотите ли вы защитить данные или предотвратить что-либо, — это аспект видимости», — прокомментировал он. 

Комплексный надзор обеспечивает эффективное предотвращение, обнаружение и управление инцидентами, адаптированное для облака. Такие инструменты, как AWS Incident Manager, Azure Sentinel и другие, играют ключевую роль в обеспечении такой прозрачности, помогая организациям на ранней стадии обнаруживать неправильные конфигурации и внедрять надежные модели управления.

Расшифровка жаргона облачной безопасности

Быстрое развитие облачных технологий часто приводит к появлению новых терминов и сокращений. Участники дискуссии провели для участников стремительную экскурсию по ним, начиная с CWPP (платформа защиты облачных рабочих нагрузок) до CSPP (управление состоянием безопасности в облаке) и, наконец, CNAPP (платформа защиты облачных приложений). Главной темой каждого из них было обеспечение безопасности и соответствия требованиям в быстро развивающейся облачной среде.

«Понять основные варианты использования», — подчеркнула группа, добавив, что независимо от аббревиатуры основное внимание всегда должно быть сосредоточено на защите данных, плоскостях управления и обеспечении надежной облачной безопасности.

Проблема оповещения об усталости

Хотя наличие инструментов имеет важное значение, Ананд указал на реальную проблему: «Усталость от оповещений реальна». 

Системы безопасности могут завалить команды предупреждениями, что приведет к потере внимания к реальным угрозам среди моря ложных срабатываний. Следовательно, крайне важно не просто внедрить инструменты, но и убедиться, что они адаптированы для предоставления действенной информации, не перегружая персонал службы безопасности.

Подробное описание циркуляра MAS по внедрению облачных технологий

Новый циркуляр Валютно-кредитного управления Сингапура о внедрении облачных технологий для сингапурских организаций стал основным предметом вебинара. В циркуляре подчеркивается стремительная миграция индустрии финансовых услуг Сингапура на облачные платформы. 

Как заметил Пол Хаджи, хотя в циркуляре MAS, возможно, и не подробно описаны все аббревиатуры, он подчеркивает важность наличия эффективных решений, процессов и стратегий смягчения последствий. Цель циркуляра соответствует обеспечению того, чтобы регулируемые организации поддерживали самые высокие стандарты облачной безопасности.

Как рекомендации MAS по публичному облаку влияют на компании

Пол подчеркнул важность понимания неправильных конфигураций при разработке облачных технологий, подчеркнув ценность Рекомендации по публичному облаку MAS. Он сказал: «Разработчики, зная, откуда берутся многие неправильные конфигурации, могут быть очень влиятельными и важными». По словам Пола, эти рекомендации необходимо прочитать всем, кто работает в отрасли, особенно тем, кто занимается техническими аспектами облачных технологий.

Участники дискуссии пролили свет на более широкие последствия руководящих принципов. Он отметил важность ознакомления с этими рекомендациями не только нынешним игрокам отрасли, но и начинающим предпринимателям в секторе финансовых технологий. 

Говоря о бурном росте индустрии финансовых технологий, участники дискуссии заявили: «Динамика развития бизнеса определенно направлена ​​в сторону облака». Они считают, что инвестиции должны быть направлены на процедуры облачной безопасности, подчеркивая важность облачной работы, независимо от того, включает ли она обработку информации, рабочий процесс или претензии.

Айви, руководитель службы безопасности AWS Professional Services в АСЕАН, рассказала о повышении уровня безопасности. По ее словам, нормативные требования следует рассматривать как только начало. 

Предприятиям следует стремиться к формированию культуры безопасности на раннем этапе, поскольку это принесет им пользу в долгосрочной перспективе. Она отметила, что многие компании сейчас рассматривают безопасность как инструмент продаж, и эта точка зрения становится все более распространенной в Азии.

Айви перечислила три первоначальных шага для регулируемых финансовых организаций по запуску программы облачной безопасности. Один из них — согласовать бизнес-цели с уровнями зрелости безопасности облака.

Второй — использовать обширные ресурсы, предлагаемые поставщиками облачных услуг. И в-третьих, обеспечение прозрачности с самого начала имеет решающее значение для своевременного выявления и устранения рисков.

Ананд Ниргудкар, технический директор CardUp, предложил целостный взгляд, впервые сравнив опыт облачной миграции с катанием на американских горках. Он еще раз подчеркнул важность тщательного процесса обнаружения и использования помощи, предоставляемой поставщиками облачных услуг. 

Более того, Ананд подчеркнул необходимость моделирования угроз и преимущества создания «ограждений», а не «ворот».

Он также призвал сообщество изучить платформу AWS Cloud Adoption Framework от 2016 года, которая предоставляет комплексные рекомендации, которые могут быть полезны независимо от конкретного поставщика облачных услуг, который вы можете использовать.

Понимание основ облачной безопасности

Группа начала с определения трех столпов, лежащих в основе эффективной программы облачной безопасности. Во-первых, безопасность конечных точек имеет первостепенное значение, особенно в отраслях, подверженных частым атакам, таких как сектор криптовалют. 

Во-вторых, они уделили особое внимание предотвращению потери данных (DLP). Поскольку штат сотрудников расширяется и работает удаленно, утечка данных стала серьезной проблемой. Обеспечение доступа к важной информации без ущерба для безопасности с помощью таких механизмов, как единый вход или двухфакторная аутентификация, имеет жизненно важное значение.

Последний столп вращался вокруг кибергигиены. По мере роста организаций внедрение культуры передовой практики кибербезопасности становится незаменимым. Обеспечение того, чтобы сотрудники, как старые, так и новые, были быть хорошо информированным о потенциальных угрозах имеет решающее значение.

Переход в облако: с чего начать?

При рассмотрении вопроса о переходе в облако вопрос «с чего начать» задавали и Ананд Ниргудкар, и Айви Янг. Ананд подчеркнул важность понимания и ранжирования активов перед принятием каких-либо решений о миграции. Он выступал за оценку, основанную на рисках и последствиях для бизнеса, связанных с потенциальной миграцией каждого актива. 

Вторя аналогичным настроениям, Айви подчеркнула важность бизнес-целей. Было рекомендовано начать с миграции менее важных ресурсов для накопления опыта, а затем постепенно переходить к более важным рабочим нагрузкам, тем самым укрепляя доверие и создавая среду практического обучения.

Рекомендации MAS по публичному облаку: основные выводы

Один из наиболее актуальных вопросов был связан с изменениями, внесенными руководящими принципами MAS по публичному облаку. Ананд представил четкое изложение основных элементов руководящих принципов. 

Он похвалил MAS за его всеобъемлющий циркуляр, в котором подробно рассматриваются различные аспекты, начиная от внедрения различных моделей обслуживания, разделения ответственности, управления идентификацией и доступом, подходов к обеспечению безопасности рабочих нагрузок и принципов безопасности с нулевым доверием. 

В руководящих принципах также содержится призыв к непрерывному тестированию, безопасности данных, управлению ключами и многому другому. Акцент на подходе к безопасности, основанном на рисках, составляет основу всего цикла, подчеркивая важность сбалансированного и прагматичного подхода к облачной безопасности.

Облако как императив бизнеса

Хотя не все вопросы удалось решить из-за нехватки времени, идеи, которыми поделились участники дискуссии, дают неоценимую информацию. Вебинар «Как новые рекомендации MAS по публичному облаку влияют на вас» подчеркнул, что внедрение и безопасность облака — это не просто ИТ-решения, а важнейшие бизнес-императивы в современную цифровую эпоху. 

Хотя новые рекомендации MAS вносят дополнительный уровень сложности, они также открывают эру повышенной безопасности, прозрачности и доверия. По мере того, как организации следуют этим рекомендациям, комплексный, стратегический и упреждающий подход к внедрению и безопасности облачных технологий не просто рекомендуется, но и необходим.

Посмотреть вебинар по запросу по этой ссылке чтобы получить представление.

Хоранги примет участие в предстоящем Сингапурском фестивале Fintech, который пройдет с 15 по 17 ноября. Узнайте больше об участии на стенде здесь.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/