MAS Public Cloud Guidelines: A Deep Dive into its Impact on Cloud Security – Fintech Singapore

Mitt i en snabbt digitaliserad värld, accelererad ytterligare av covid-19-pandemin, har molnteknik blivit en central hörnsten för företag över hela världen. Nyligen introducerade Monetary Authority of Singapore (MAS) ett cirkulär med riktlinjer för offentliga moln om cyberriskerna i samband med antagandet, vilket påverkar såväl finans- som teknisk sektor. 

Utvecklingen av molnteknik har omformat hur tidigare inlandsföretag fungerar. Behovet av förbättrad molnsäkerhet, särskilt inom den hårt reglerade fintech-branschen som kan få långtgående konsekvenser, har aldrig varit större. 

Det senaste webbinariet med titeln 'Hur de nya MAS Public Cloud-riktlinjerna påverkar dig', modererad av cybersäkerhetsspecialisten Horangis VD, Paul Hadjy, samlade branschexperter för att belysa de uppdaterade riktlinjerna som fastställts av Monetary Authority of Singapore (MAS). 

Paneldeltagarna var Anand Nirgudkar, CTO för betalningsfintech CardUp och Ivy Young, säkerhetschef på AWS Professional Services, ASEAN.

Denna avgörande diskussion, med några av branschens främsta experter som erbjuder en holistisk bild av det offentliga molnlandskapet i relation till riktlinjer fastställda av MAS, fördjupar sig i dess implikationer och vad de betyder för organisationer.

Utnyttja kraften i molnet

Molnets allestädesnärvaro de senaste åren har inte gått förlorad hos paneldeltagarna. Från att säkerställa drifttid dygnet runt till att tillhandahålla marknadsdataåtkomst, molninfrastruktur är ryggraden i deras verksamhet.

Samtidigt lyfte Anand, som talade om CardUps erfarenhet, företagets moln-först-etos, och pekade på PCI DSS-efterlevnad, arkitektoniska bästa praxis och regional tillväxt som nyckelmotiv för deras molnberoende.

Utmaningen med molnsäkerhet

Trots de stora fördelarna som molntekniken erbjuder är de inneboende utmaningarna den innebär, särskilt inom säkerhetsområdet, anmärkningsvärda. En sådan utmaning är felkonfiguration. Anand betonar dynamiken i molnsäkerhet och citerar den ökända Capital One-incidenten som en skarp påminnelse om hur enkla felkonfigurationer kan leda till betydande intrång.

Det handlar dock inte bara om felkonfiguration. Som påpekats i MAS-riktlinjerna är identitets- och åtkomsthantering av största vikt. Paul betonade vikten av att ha robusta kontroller på plats, särskilt med onboarding och offboarding praxis.

Reflekterar över senaste överträdelser av DeFi-protokollen Harbor och Exactly i separata attacker påminde panelen om motiven som driver angripare. När det finns mer att vinna dras angriparnas uppmärksamhet alltid. Som sådan, även om molninfrastruktur erbjuder oöverträffade fördelar, har insatserna aldrig varit högre.

Modellen för delat ansvar

Ett centralt diskussionsämne kretsade kring "modellen för delat ansvar". Ivy Young påpekade: "Något grundläggande här, när vi tänker på säkerhet, är en modell för delat ansvar." 

Denna modell betonar ansvarsfördelningen mellan molnleverantörer och deras kunder. Medan molnleverantörer säkerställer molnets säkerhet måste kunderna säkra det de lägger i molnet, vare sig det är data eller applikationer.

Ivy påpekade vidare att det är viktigt att förstå modellen med delat ansvar. Men utmaningen uppstår när denna förståelse inte översätts till daglig verksamhet och processer. Följaktligen kan felkonfigurationer eller brister i förvaltningen uppstå.

Synlighet i molninfrastruktur

Anand lyfte fram vikten av synlighet i molninfrastruktur. "Den grundläggande aspekten av huruvida du vill säkra data eller förhindra något är synlighetsaspekten", kommenterade han. 

Att ha omfattande tillsyn säkerställer effektiv förebyggande, upptäckt och incidenthantering skräddarsydd för molnet. Verktyg som AWS Incident Manager, Azure Sentinel och andra spelar en avgörande roll för att erbjuda denna synlighet, och hjälper organisationer att upptäcka felkonfigurationer tidigt och implementera robusta styrningsmodeller.

Avkodning av molnsäkerhetsjargonger

Den snabba utvecklingen av molnteknik introducerar ofta nya terminologier och akronymer. Paneldeltagarna tog deltagarna på en virvelvindtur i dessa, med början från CWPP (Cloud Workload Protection Platform) till CSPP (Cloud Security Posture Management) och slutligen CNAPP (Cloud Native Application Protection Platform). Det övergripande temat mellan var och en var att säkerställa säkerhet och efterlevnad i den snabbt utvecklande molnmiljön.

"Förstå kärnanvändningsfallen", betonade panelen och tillade att oavsett förkortning bör fokus alltid ligga på att skydda data, styra flygplan och säkerställa robust molnsäkerhet.

Alert Fatigue Challenge

Även om det är viktigt att ha verktyg på plats, påpekade Anand den verkliga utmaningen: "Alert trötthet är verklig." 

Säkerhetssystem kan översvämma team med varningar, vilket leder till att fokus tappas på äkta hot mitt i ett hav av falska positiva. Därför är det avgörande att inte bara implementera verktyg utan också att se till att de är skräddarsydda för att ge handlingskraftiga insikter utan att överväldigande säkerhetspersonal.

Fördjupa dig i MAS-cirkuläret om molnadoption

Monetary Authority of Singapores nya cirkulär om molnadoption för Singapore-organisationer var webinariets huvudsakliga fokuspunkt. Cirkuläret betonar den snabba migrationen av finansbranschen i Singapore till molnplattformar. 

Som Paul Hadjy observerade, även om MAS-cirkuläret kanske inte beskriver varje akronym, understryker det vikten av att ha effektiva lösningar, processer och begränsningsstrategier på plats. Cirkulärets mål är i linje med att säkerställa att reglerade enheter upprätthåller de högsta standarderna för molnsäkerhet.

Hur MAS Public Cloud-riktlinjerna påverkar företag

Paul betonade vikten av att förstå felkonfigurationerna inom molnutveckling, och betonade värdet i Riktlinjer för MAS offentliga moln. Han sa, "Utvecklare, som vet var många av felkonfigurationerna kommer ifrån, kan vara mycket inflytelserika och viktiga." Riktlinjerna, enligt Paul, är en viktig läsning för alla i branschen, särskilt de som är involverade i molnets tekniska aspekter.

Paneldeltagarna belyser de bredare konsekvenserna av riktlinjerna. Han påpekade vikten av att inte bara nuvarande branschaktörer utan även blivande entreprenörer inom fintech-sektorn bekantar sig med dessa riktlinjer. 

På tal om fintech-branschens spirande tillväxt sa panelen, "Dynamiken i vart verksamheten går är definitivt mot molnet." De anser att investeringar bör riktas mot molnsäkerhetsprocedurer, och betonar betydelsen av molnbaserat arbete, oavsett om det handlar om informationshantering, arbetsflöde eller anspråk.

Ivy, säkerhetschefen på AWS Professional Services i ASEAN, talade om att förbättra sin säkerhetsställning. Enligt henne ska myndighetskrav ses som bara början. 

Företag bör sträva efter att bygga en säkerhetskultur tidigt, eftersom det skulle gynna dem på lång sikt. Hon nämnde att många företag nu ser säkerhet som en försäljningsmöjlighet, ett perspektiv som blir allt vanligare i Asien.

Ivy räknade upp tre inledande steg för reglerade finansiella enheter för att starta sitt molnsäkerhetsprogram. En är att anpassa affärsmålen med molnets säkerhetsmognadsnivåer.

Det andra är att utnyttja de omfattande resurser som erbjuds av molntjänstleverantörer. Och för det tredje, att etablera synlighet från början är avgörande för att upptäcka och hantera risker i tid.

Anand Nirgudkar, CTO för CardUp, erbjöd en helhetssyn och liknade upplevelsen av molnmigrering med att åka berg-och dalbana för första gången. Han upprepade vikten av en grundlig upptäcktsprocess och att utnyttja den hjälp som tillhandahålls av molntjänstleverantörer. 

Dessutom underströk Anand nödvändigheten av hotmodellering och fördelarna med att skapa "skyddsräcken" snarare än "portar".

Han uppmuntrade också samhället att utforska AWS:s Cloud Adoption Framework från 2016, som ger omfattande vägledning som kan vara till nytta, oavsett vilken specifika molntjänstleverantör man kan använda.

Förstå pelarna för molnsäkerhet

Panelen började med att identifiera tre grundpelare för ett effektivt molnsäkerhetsprogram. För det första är slutpunktssäkerhet av största vikt, särskilt i branscher som är känsliga för frekventa attacker, såsom kryptovalutasektorn. 

För det andra lyfte de fram dataförlustförebyggande (DLP). När personalen expanderar och arbetar på distans har dataläckage blivit ett framträdande problem. Att säkerställa tillgång till viktig information utan att kompromissa med säkerheten genom mekanismer som enkel inloggning eller tvåfaktorsautentisering är avgörande.

Den sista pelaren kretsade kring cyberhygien. När organisationer växer blir det oumbärligt att skapa en kultur av god cybersäkerhetspraxis. Se till att anställda, både gamla och nya, är det välinformerad om potentiella hot är avgörande.

Övergång till molnet: var ska jag börja?

När man övervägde att gå över till molnet togs frågan "var ska man börja" upp av både Anand Nirgudkar och Ivy Young. Anand betonade vikten av att förstå och rangordna tillgångar innan man fattar några migrationsbeslut. Han förespråkade en bedömning baserad på risken och affärseffekterna i samband med den potentiella migreringen av varje tillgång. 

Ivy upprepade liknande känslor och pekade ut betydelsen av affärsmål. Att börja med att migrera mindre kritiska tillgångar för att bygga upp erfarenhet och sedan gradvis övergå till mer kritiska arbetsbelastningar rekommenderades, vilket främjade självförtroende och odlade en praktisk inlärningsmiljö.

MAS Public Cloud Riktlinjer: Viktiga takeaways

En av de mest angelägna frågorna var relaterad till förändringarna som åstadkoms av MAS offentliga molnriktlinjer. Anand gav en välformulerad sammanfattning av de väsentliga delarna av riktlinjerna. 

Han berömde MAS för dess omfattande cirkulär, som fördjupar sig i aspekter som sträcker sig från införandet av olika tjänstemodeller, delat ansvar, identitets- och åtkomsthantering, arbetsbelastningssäkerhetsmetoder och nollförtroendesäkerhetsprinciper. 

Riktlinjerna förespråkar också kontinuerlig testning, datasäkerhet, nyckelhantering och mer. En betoning på en riskbaserad säkerhetsstrategi utgör ryggraden i hela cirkuläret, vilket understryker vikten av en balanserad, pragmatisk strategi för molnsäkerhet.

Cloud som affärsimperativ

Även om inte alla frågor kunde lösas på grund av tidsbrist, erbjuder insikterna som delas av paneldeltagarna ovärderlig lärande. De Webinarium "Hur de nya MAS Public Cloud-riktlinjerna påverkar dig". underströk hur införandet och säkerheten av molnet inte bara är IT-beslut, utan är viktiga affärsbehov i dagens digitala tidsålder. 

Medan de nya MAS-riktlinjerna introducerar ett extra lager av komplexitet, inleder de också en era av förbättrad säkerhet, transparens och förtroende. När organisationer navigerar i dessa riktlinjer rekommenderas inte bara ett omfattande, strategiskt och proaktivt tillvägagångssätt för molninförande och säkerhet, utan också nödvändigt.

Se webbinariet på begäran På den här länken för att få insikter.

Horangi kommer att delta i den kommande Singapore Fintech Festival som äger rum 15-17 november. Läs mer om deras monterdeltagande här..

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/