Smernice MAS za javni oblak: globok potop v njegov vpliv na varnost v oblaku – Fintech Singapur

Sredi hitro digitalizirajočega se sveta, ki ga je dodatno pospešila pandemija COVID-19, je tehnologija v oblaku postala temeljni kamen za podjetja po vsem svetu. Pred kratkim je denarna uprava Singapurja (MAS) predstavila okrožnico s smernicami za javni oblak v zvezi s kibernetskimi tveganji, povezanimi s sprejetjem, ki vpliva tako na finančni kot tehnološki sektor. 

Razvoj tehnologije v oblaku je preoblikoval način delovanja podjetij, ki so bila prej neobalna. Potreba po izboljšani varnosti v oblaku, zlasti znotraj strogo regulirane industrije finančne tehnologije, ki bi lahko imela daljnosežne posledice, še nikoli ni bila večja. 

Nedavni webinar z naslovom "Kako nove smernice MAS Public Cloud vplivajo na vas', ki ga je moderiral strokovnjak za kibernetsko varnost, izvršni direktor podjetja Horangi, Paul Hadjy, je združil strokovnjake iz industrije, da bi osvetlili posodobljene smernice, ki jih je določila monetarna uprava Singapurja (MAS). 

Panelisti so bili Anand Nirgudkar, tehnični direktor plačilne tehnologije CardUp in Ivy Young, vodja varnosti pri AWS Professional Services, ASEAN.

Ta osrednja razprava, v kateri sodelujejo nekateri najpomembnejši strokovnjaki v panogi, ponuja celovit pogled na krajino javnega oblaka v povezavi z smernice, ki jih določa MAS, se poglobi v njegove posledice in njihov pomen za organizacije.

Izkoriščanje moči oblaka

Vseprisotnost oblaka v zadnjih letih se udeležencem panela ni izognila. Od zagotavljanja neprekinjenega delovanja 24 ur na dan do dostopa do tržnih podatkov je infrastruktura v oblaku hrbtenica njihovega delovanja.

Medtem je Anand, ko je govoril o izkušnjah družbe CardUp, poudaril etos podjetja, ki je na prvem mestu v oblaku, pri čemer je izpostavil spoštovanje standarda PCI DSS, najboljše arhitekturne prakse in regionalno rast kot ključne motivatorje za njihovo odvisnost od oblaka.

Izziv varnosti v oblaku

Kljub velikim prednostim, ki jih ponuja tehnologija v oblaku, so njeni inherentni izzivi, zlasti na področju varnosti, omembe vredni. Eden takih izzivov je napačna konfiguracija. Anand poudarja dinamičnost varnosti v oblaku in navaja razvpiti incident Capital One kot oster opomin, kako lahko preproste napačne konfiguracije vodijo do pomembnih kršitev.

Vendar ne gre le za napačno konfiguracijo. Kot je poudarjeno v smernicah MAS, je upravljanje identitete in dostopa najpomembnejše. Paul je poudaril pomen vzpostavljenega robustnega nadzora, zlasti pri praksah vkrcanja in izključevanja.

Razmišljanje o nedavne kršitve DeFi protokolov Harbor in Exactly v ločenih napadih je panel spomnil na motive, ki vodijo napadalce. Ko je mogoče pridobiti več, je vedno pritegnjena pozornost napadalcev. Medtem ko infrastruktura v oblaku ponuja neprimerljive prednosti, vložki še nikoli niso bili višji.

Model deljene odgovornosti

Osrednja tema razprave je bila osredotočena na »model deljene odgovornosti«. Ivy Young je pripomnila: "Nekaj ​​temeljnega tukaj, ko razmišljamo o varnosti, je model deljene odgovornosti." 

Ta model poudarja delitev odgovornosti med ponudniki oblakov in njihovimi strankami. Medtem ko ponudniki oblaka zagotavljajo varnost oblaka, morajo stranke zaščititi tisto, kar dajo v oblak, naj bodo to podatki ali aplikacije.

Ivy je nadalje poudaril, da je razumevanje modela deljene odgovornosti bistveno. Vendar pa se pojavi izziv, ko se to razumevanje ne prenese v vsakodnevne operacije in procese. Posledično lahko pride do napačnih konfiguracij ali vrzeli v upravljanju.

Vidnost v infrastrukturi oblaka

Anand je poudaril pomen vidnosti v infrastrukturi oblaka. "Temeljni vidik, ali želite zavarovati podatke ali preprečiti kar koli, je vidik vidnosti," je komentiral. 

Celovit nadzor zagotavlja učinkovito preprečevanje, odkrivanje in upravljanje incidentov, prilagojeno za oblak. Orodja, kot so Incident Manager podjetja AWS, Azure Sentinel in druga, igrajo ključno vlogo pri zagotavljanju te vidnosti, saj pomagajo organizacijam zgodaj odkriti napačne konfiguracije in implementirati robustne modele upravljanja.

Dekodiranje žargonov za varnost v oblaku

Hitra evolucija tehnologije v oblaku pogosto uvaja nove terminologije in kratice. Udeleženci panela so udeležence popeljali na vrtinsko turnejo po teh, začenši s CWPP (platforma za zaščito delovne obremenitve v oblaku) do CSPP (upravljanje varnosti v oblaku) in končno CNAPP (platforma za zaščito domačih aplikacij v oblaku). Glavna tema obeh je bila zagotavljanje varnosti in skladnosti v hitro razvijajočem se okolju oblaka.

"Razumejte glavne primere uporabe," je poudarila komisija in dodala, da bi morali biti ne glede na akronim vedno poudarek na varovanju podatkov, nadzornih ravninah in zagotavljanju robustne varnosti v oblaku.

Izziv Alert Fatigue

Medtem ko je imeti na voljo orodja bistvenega pomena, je Anand izpostavil resničen izziv: "Utrujenost zaradi opozorila je resnična." 

Varnostni sistemi lahko ekipe preplavijo z opozorili, kar povzroči izgubo osredotočenosti na resnične grožnje sredi morja lažno pozitivnih rezultatov. Zato je ključnega pomena ne le implementacija orodij, ampak tudi zagotovitev, da so prilagojena za zagotavljanje uporabnih vpogledov brez preobremenjenosti varnostnega osebja.

Poglabljanje v okrožnico MAS o uvedbi oblaka

Nova okrožnica denarne uprave Singapurja o uvajanju oblaka za singapurske organizacije je bila glavna osrednja točka spletnega seminarja. Okrožnica poudarja hitro selitev industrije finančnih storitev v Singapurju na platforme v oblaku. 

Kot je opazil Paul Hadjy, čeprav okrožnica MAS morda ne navaja podrobnosti vseh akronimov, poudarja pomen učinkovitih rešitev, procesov in strategij za ublažitev. Cilj okrožnice je usklajen z zagotavljanjem, da regulirani subjekti vzdržujejo najvišje standarde varnosti v oblaku.

Kako smernice MAS Public Cloud vplivajo na podjetja

Paul je poudaril pomen razumevanja napačnih konfiguracij v razvoju oblaka in poudaril vrednost v Smernice MAS za javni oblak. Rekel je: "Razvijalci, ki vedo, od kod prihaja veliko napačnih konfiguracij, so lahko zelo vplivni in pomembni." Po besedah ​​Paula so smernice nujno branje za vsakogar v industriji, zlasti za tiste, ki se ukvarjajo s tehničnimi vidiki oblaka.

Razpravljavci so osvetlili širše posledice smernic. Poudaril je, da je pomembno, da se s temi smernicami seznanijo ne le trenutni akterji v industriji, ampak tudi nadobudni podjetniki v sektorju finančne tehnologije. 

Ko smo govorili o naraščajoči rasti fintech industrije, je komisija dejala: "Dinamika poslovanja je vsekakor usmerjena v oblak." Prepričani so, da je treba naložbo usmeriti v varnostne postopke v oblaku, pri čemer poudarjajo pomen dela v oblaku, ne glede na to, ali gre za obdelavo informacij, potek dela ali zahtevke.

Ivy, vodja varnosti pri AWS Professional Services v ASEAN, je govoril o izboljšanju lastne varnostne drže. Po njenih besedah ​​je treba regulativne zahteve videti le kot začetek. 

Podjetja bi si morala že zgodaj prizadevati zgraditi varnostno kulturo, saj bi jim to dolgoročno koristilo. Omenila je, da mnoga podjetja zdaj vidijo varnost kot sredstvo za prodajo, perspektiva, ki v Aziji vse bolj prevladuje.

Ivy je naštel tri začetne korake za regulirane finančne subjekte, da začnejo svoj varnostni program v oblaku. Ena je uskladitev poslovnih ciljev s stopnjami zrelosti varnosti oblaka.

Drugi je izkoriščanje obsežnih virov, ki jih ponujajo ponudniki storitev v oblaku. In tretjič, vzpostavitev vidnosti od samega začetka je ključnega pomena za pravočasno odkrivanje in obravnavanje tveganj.

Anand Nirgudkar, tehnični direktor podjetja CardUp, je ponudil celovit pogled in primerjal izkušnjo selitve v oblak s prvo vožnjo z vlakom. Ponovil je pomen temeljitega postopka odkrivanja in izkoriščanja pomoči ponudnikov storitev v oblaku. 

Poleg tega je Anand poudaril nujnost modeliranja groženj in prednosti ustvarjanja "varovalnih ograj" namesto "vrat".

Prav tako je spodbudil skupnost, naj razišče AWS-ov okvir za sprejemanje oblakov iz leta 2016, ki zagotavlja celovite smernice, ki so lahko koristne, ne glede na določenega ponudnika storitev v oblaku, ki ga morda uporabljate.

Razumevanje stebrov varnosti v oblaku

Panel je začel z identifikacijo treh stebrov, ki so temeljni za učinkovit program varnosti v oblaku. Prvič, varnost končne točke je izjemnega pomena, zlasti v panogah, ki so dovzetne za pogoste napade, kot je sektor kriptovalut. 

Drugič, izpostavili so preprečevanje izgube podatkov (DLP). Ker se delovna sila širi in deluje na daljavo, je uhajanje podatkov postalo pomembna skrb. Zagotavljanje dostopa do ključnih informacij brez ogrožanja varnosti prek mehanizmov, kot sta enotna prijava ali dvostopenjska avtentikacija, je ključnega pomena.

Zadnji steber se je vrtel okoli kibernetske higiene. Ko organizacije rastejo, postaja uvajanje kulture dobrih praks kibernetske varnosti nepogrešljivo. Zagotavljanje, da so zaposleni, tako stari kot novi dobra obveščenost o potencialnih grožnjah je ključnega pomena.

Prehod v oblak: kje začeti?

Pri razmišljanju o prehodu v oblak sta Anand Nirgudkar in Ivy Young obravnavala vprašanje, kje začeti. Anand je poudaril pomen razumevanja in razvrščanja sredstev pred sprejetjem kakršnih koli odločitev o selitvi. Zavzel se je za oceno, ki temelji na tveganju in vplivu na poslovanje, povezanem s potencialno selitvijo posameznega sredstva. 

S podobnimi občutki je Ivy izpostavil pomen poslovnih ciljev. Začetek s selitvijo manj kritičnih sredstev za ustvarjanje izkušenj in nato postopen prehod na bolj kritične delovne obremenitve je bil priporočen, s čimer se krepi zaupanje in goji praktično okolje za učenje.

Smernice MAS za javni oblak: Ključni zaključki

Eno najbolj perečih vprašanj je bilo povezano s spremembami, ki jih prinašajo smernice javnega oblaka MAS. Anand je podal artikuliran povzetek bistvenih elementov smernic. 

Pohvalil je MAS za njegovo obsežno okrožnico, ki se poglobi v vidike, ki segajo od uvedbe različnih modelov storitev, deljenih odgovornosti, upravljanja identitete in dostopa, varnostnih pristopov delovne obremenitve in varnostnih načel ničelnega zaupanja. 

Smernice prav tako zagovarjajo stalno testiranje, varnost podatkov, upravljanje ključev in drugo. Poudarek na varnostnem pristopu, ki temelji na tveganju, tvori hrbtenico celotne okrožnice, ki poudarja pomen uravnoteženega, pragmatičnega pristopa k varnosti v oblaku.

Oblak kot poslovni imperativ

Čeprav zaradi časovnih omejitev ni bilo mogoče obravnavati vseh vprašanj, vpogledi, ki so jih delili panelisti, nudijo neprecenljivo učenje. The Spletni seminar »Kako nove smernice javnega oblaka MAS vplivajo na vas«. je poudaril, kako sprejetje in varnost oblaka nista zgolj IT-odločitvi, temveč ključni poslovni imperativi v današnji digitalni dobi. 

Medtem ko nove smernice MAS uvajajo dodatno plast kompleksnosti, uvajajo tudi dobo izboljšane varnosti, preglednosti in zaupanja. Ko organizacije krmarijo po teh smernicah, celovit, strateški in proaktiven pristop k sprejemanju in varnosti v oblaku ni le priporočljiv, ampak bistven.

Oglejte si spletni seminar na zahtevo na tej povezavi pridobiti vpoglede.

Horangi bo sodeloval na prihajajočem Singapore Fintech Festivalu, ki bo potekal od 15. do 17. novembra. Izvedite več o njihovi udeležbi na stojnici tukaj.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/