แนวทางปฏิบัติของคลาวด์สาธารณะของ MAS: เจาะลึกถึงผลกระทบต่อความปลอดภัยของคลาวด์ – Fintech Singapore

ท่ามกลางโลกดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็ว และเร่งตัวมากขึ้นจากการแพร่ระบาดของโควิด-19 เทคโนโลยีคลาวด์ได้กลายเป็นรากฐานที่สำคัญสำหรับธุรกิจทั่วโลก เมื่อเร็วๆ นี้ ธนาคารกลางสิงคโปร์ (MAS) ได้เปิดตัวหนังสือเวียนพร้อมแนวปฏิบัติเกี่ยวกับคลาวด์สาธารณะที่เกี่ยวข้องกับความเสี่ยงทางไซเบอร์ที่เกี่ยวข้องกับการใช้งาน ซึ่งส่งผลกระทบต่อภาคการเงินและเทคโนโลยี 

วิวัฒนาการของเทคโนโลยีคลาวด์ได้เปลี่ยนรูปแบบการดำเนินงานของบริษัทที่ไม่มีทางออกสู่ทะเลก่อนหน้านี้ ความจำเป็นในการรักษาความปลอดภัยบนคลาวด์ที่ได้รับการปรับปรุง โดยเฉพาะอย่างยิ่งในอุตสาหกรรมฟินเทคที่มีการควบคุมอย่างเข้มงวด ซึ่งอาจมีผลกระทบในวงกว้างไม่เคยมีมากขนาดนี้มาก่อน 

การสัมมนาผ่านเว็บล่าสุดในหัวข้อ 'หลักเกณฑ์ใหม่ของ MAS Public Cloud ส่งผลต่อคุณอย่างไร' ซึ่งดำเนินรายการโดย Paul Hadjy ซีอีโอของ Horangi ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ได้นำผู้เชี่ยวชาญในอุตสาหกรรมมารวมตัวกันเพื่อให้ความกระจ่างเกี่ยวกับแนวปฏิบัติที่ได้รับการปรับปรุงซึ่งกำหนดโดย Monetary Authority of Singapore (MAS) 

ผู้ร่วมอภิปราย ได้แก่ Anand Nirgudkar CTO ฝ่ายฟินเทคการชำระเงิน CardUp และ Ivy Young หัวหน้าฝ่ายรักษาความปลอดภัยของ AWS Professional Services อาเซียน

การอภิปรายสำคัญนี้ประกอบด้วยผู้เชี่ยวชาญระดับแนวหน้าของอุตสาหกรรมที่นำเสนอมุมมองแบบองค์รวมของภูมิทัศน์คลาวด์สาธารณะที่เกี่ยวข้องกับ แนวทางที่กำหนดโดย MASเจาะลึกถึงความหมายและความหมายที่มีต่อองค์กร

การควบคุมพลังของคลาวด์

การมีอยู่ทั่วไปทุกหนทุกแห่งของคลาวด์ในช่วงไม่กี่ปีที่ผ่านมาไม่ได้สูญหายไปจากผู้ร่วมอภิปราย ตั้งแต่การรับประกันความพร้อมในการทำงานตลอด 24 ชั่วโมงทุกวันไปจนถึงการให้การเข้าถึงข้อมูลตลาด โครงสร้างพื้นฐานคลาวด์ถือเป็นหัวใจสำคัญของการดำเนินงาน

ในขณะเดียวกัน Anand กล่าวถึงประสบการณ์ของ CardUp โดยเน้นย้ำถึงหลักการที่ให้ความสำคัญกับคลาวด์เป็นหลักของบริษัท โดยชี้ไปที่การยึดมั่นใน PCI DSS แนวทางปฏิบัติที่ดีที่สุดด้านสถาปัตยกรรม และการเติบโตในระดับภูมิภาค ว่าเป็นแรงจูงใจหลักในการพึ่งพาคลาวด์

ความท้าทายด้านความปลอดภัยบนคลาวด์

แม้ว่าเทคโนโลยีคลาวด์จะได้รับประโยชน์มากมายจากเทคโนโลยีคลาวด์ แต่ความท้าทายที่เกิดขึ้นโดยธรรมชาติ โดยเฉพาะในขอบเขตด้านความปลอดภัยก็เป็นสิ่งที่น่าสังเกต ความท้าทายประการหนึ่งคือการกำหนดค่าที่ไม่ถูกต้อง Anand เน้นย้ำถึงพลวัตของการรักษาความปลอดภัยบนคลาวด์ และอ้างถึงเหตุการณ์ Capital One ที่โด่งดังว่าเป็นเครื่องเตือนใจอย่างชัดเจนว่าการกำหนดค่าที่ไม่ถูกต้องง่ายๆ สามารถนำไปสู่การละเมิดที่สำคัญได้อย่างไร

อย่างไรก็ตาม ไม่ใช่เพียงเกี่ยวกับการกำหนดค่าที่ไม่ถูกต้องเท่านั้น ตามที่ระบุไว้ในหลักเกณฑ์ของ MAS การจัดการข้อมูลประจำตัวและการเข้าถึงยังคงเป็นสิ่งสำคัญยิ่ง Paul เน้นย้ำถึงความสำคัญของการมีการควบคุมที่มีประสิทธิภาพ โดยเฉพาะอย่างยิ่งกับแนวทางปฏิบัติในการเริ่มใช้งานและออกจากการทำงาน

สะท้อนให้เห็นถึง การละเมิดล่าสุด ของโปรโตคอล DeFi Harbor และในการโจมตีแยกกัน คณะกรรมการเตือนถึงแรงจูงใจที่ขับเคลื่อนผู้โจมตี เมื่อมีสิ่งอื่นที่ต้องได้รับมากขึ้น ความสนใจของผู้โจมตีก็จะถูกดึงออกมาอย่างสม่ำเสมอ ด้วยเหตุนี้ แม้ว่าโครงสร้างพื้นฐานคลาวด์จะมอบข้อได้เปรียบที่ไม่มีใครเทียบได้ แต่เดิมพันก็ไม่เคยสูงกว่านี้มาก่อน

โมเดลความรับผิดชอบร่วมกัน

หัวข้อหลักของการสนทนาที่มีศูนย์กลางอยู่ที่ "โมเดลความรับผิดชอบร่วมกัน" Ivy Young กล่าวว่า "เมื่อเราคำนึงถึงความปลอดภัย บางสิ่งที่เป็นรากฐานที่นี่ ถือเป็นรูปแบบความรับผิดชอบร่วมกัน" 

โมเดลนี้เน้นการแบ่งความรับผิดชอบระหว่างผู้ให้บริการคลาวด์และลูกค้า แม้ว่าผู้ให้บริการคลาวด์จะรับประกันความปลอดภัยของคลาวด์ ลูกค้าจะต้องรักษาความปลอดภัยสิ่งที่พวกเขาใส่ไว้ในคลาวด์ ไม่ว่าจะเป็นข้อมูลหรือแอปพลิเคชัน

Ivy ชี้ให้เห็นเพิ่มเติมว่าการทำความเข้าใจรูปแบบความรับผิดชอบร่วมกันเป็นสิ่งสำคัญ อย่างไรก็ตาม ความท้าทายเกิดขึ้นเมื่อความเข้าใจนี้ไม่ได้แปลเป็นการปฏิบัติงานและกระบวนการในแต่ละวัน ผลที่ตามมาคือการกำหนดค่าที่ไม่ถูกต้องหรือช่องว่างด้านการกำกับดูแลอาจเกิดขึ้นได้

การมองเห็นในโครงสร้างพื้นฐานคลาวด์

อานันท์เน้นย้ำถึงความสำคัญของการมองเห็นในโครงสร้างพื้นฐานคลาวด์ “แง่มุมพื้นฐานว่าคุณต้องการรักษาความปลอดภัยข้อมูลหรือป้องกันสิ่งใดๆ ก็ตามคือแง่มุมการมองเห็น” เขาแสดงความคิดเห็น 

การมีการควบคุมดูแลที่ครอบคลุมช่วยให้มั่นใจได้ถึงการป้องกัน การตรวจจับ และการจัดการเหตุการณ์ที่มีประสิทธิภาพซึ่งออกแบบมาเพื่อระบบคลาวด์โดยเฉพาะ เครื่องมือต่างๆ เช่น Incident Manager ของ AWS, Azure Sentinel และอื่นๆ มีบทบาทสำคัญในการนำเสนอการมองเห็นนี้ ช่วยให้องค์กรตรวจพบการกำหนดค่าที่ไม่ถูกต้องตั้งแต่เนิ่นๆ และใช้โมเดลการกำกับดูแลที่มีประสิทธิภาพ

การถอดรหัสศัพท์เฉพาะด้านความปลอดภัยบนคลาวด์

วิวัฒนาการที่ก้าวไปอย่างรวดเร็วของเทคโนโลยีคลาวด์มักทำให้เกิดคำศัพท์และคำย่อใหม่ๆ ผู้ร่วมเสวนาพาผู้เข้าร่วมทัวร์ชมสิ่งเหล่านี้ โดยเริ่มจาก CWPP (Cloud Workload Protection Platform) ไปจนถึง CSPP (Cloud Security Posture Management) และสุดท้ายคือ CNAPP (Cloud Native Application Protection Platform) ธีมหลักระหว่างแต่ละประเด็นคือการรับประกันความปลอดภัยและการปฏิบัติตามข้อกำหนดในสภาพแวดล้อมคลาวด์ที่พัฒนาอย่างรวดเร็ว

“ทำความเข้าใจกรณีการใช้งานหลัก” คณะผู้เสวนาเน้นย้ำว่าไม่ว่าจะใช้ตัวย่ออะไรก็ตาม ควรให้ความสำคัญกับการปกป้องข้อมูล การควบคุม และการรับรองความปลอดภัยบนคลาวด์ที่แข็งแกร่งเสมอ

ความท้าทายในการแจ้งเตือนความเมื่อยล้า

แม้ว่าการมีเครื่องมือให้พร้อมเป็นสิ่งสำคัญ อานันท์ชี้ให้เห็นถึงความท้าทายที่แท้จริง: “การแจ้งเตือนความเหนื่อยล้ามีอยู่จริง” 

ระบบรักษาความปลอดภัยสามารถทำให้ทีมได้รับการแจ้งเตือนอย่างล้นหลาม ส่งผลให้สูญเสียความสนใจไปที่ภัยคุกคามที่แท้จริง ท่ามกลางผลบวกลวงมากมาย ดังนั้น ไม่เพียงแต่จะต้องใช้เครื่องมือเท่านั้น แต่ยังต้องแน่ใจว่าเครื่องมือเหล่านี้ได้รับการปรับแต่งเพื่อให้ข้อมูลเชิงลึกที่นำไปใช้ได้จริงโดยไม่ต้องมีเจ้าหน้าที่รักษาความปลอดภัยล้นหลาม

เจาะลึก MAS Circular ว่าด้วยการนำระบบคลาวด์มาใช้

หนังสือเวียนใหม่เกี่ยวกับการปรับใช้ระบบคลาวด์ของธนาคารกลางสิงคโปร์สำหรับองค์กรในสิงคโปร์เป็นจุดสนใจหลักของการสัมมนาผ่านเว็บ หนังสือเวียนดังกล่าวเน้นย้ำถึงการโยกย้ายอย่างรวดเร็วของอุตสาหกรรมบริการทางการเงินในสิงคโปร์ไปยังแพลตฟอร์มคลาวด์ 

ดังที่ Paul Hadjy ตั้งข้อสังเกต แม้ว่าหนังสือเวียนของ MAS อาจไม่ได้ให้รายละเอียดเกี่ยวกับตัวย่อทุกตัว แต่ก็เน้นย้ำถึงความสำคัญของการมีแนวทางแก้ไข กระบวนการ และกลยุทธ์การบรรเทาผลกระทบที่มีประสิทธิภาพ วัตถุประสงค์ของหนังสือเวียนนี้สอดคล้องกับการรับรองว่าหน่วยงานที่ได้รับการควบคุมจะรักษามาตรฐานสูงสุดของความปลอดภัยบนคลาวด์

แนวทางปฏิบัติของ MAS Public Cloud ส่งผลกระทบต่อบริษัทอย่างไร

Paul เน้นย้ำถึงความสำคัญของการทำความเข้าใจการกำหนดค่าที่ไม่ถูกต้องภายในการพัฒนาระบบคลาวด์ โดยเน้นถึงคุณค่าใน แนวทางปฏิบัติเกี่ยวกับระบบคลาวด์สาธารณะของ MAS. เขากล่าวว่า “นักพัฒนาที่รู้ว่าการกำหนดค่าที่ไม่ถูกต้องจำนวนมากมาจากไหน สามารถมีอิทธิพลและสำคัญมาก” Paul กล่าวไว้ว่าแนวปฏิบัตินี้ถือเป็นเรื่องสำคัญสำหรับทุกคนในอุตสาหกรรม โดยเฉพาะอย่างยิ่งผู้ที่เกี่ยวข้องกับด้านเทคนิคของระบบคลาวด์

ผู้ร่วมอภิปรายให้ความกระจ่างเกี่ยวกับผลกระทบในวงกว้างของแนวปฏิบัตินี้ เขาชี้ให้เห็นถึงความสำคัญไม่เพียงแต่สำหรับผู้เล่นในอุตสาหกรรมในปัจจุบันเท่านั้น แต่ยังรวมถึงผู้ประกอบการรุ่นใหม่ในภาคฟินเทคเพื่อทำความคุ้นเคยกับแนวทางเหล่านี้ 

เมื่อพูดถึงการเติบโตอย่างรวดเร็วของอุตสาหกรรมฟินเทค คณะผู้เสวนากล่าวว่า "การเปลี่ยนแปลงของทิศทางที่ธุรกิจดำเนินไปนั้นมุ่งสู่ระบบคลาวด์อย่างแน่นอน" พวกเขาเชื่อว่าการลงทุนควรมุ่งไปที่กระบวนการรักษาความปลอดภัยบนคลาวด์ โดยเน้นความสำคัญของงานบนคลาวด์ ไม่ว่าจะเกี่ยวข้องกับการจัดการข้อมูล เวิร์กโฟลว์ หรือการอ้างสิทธิ์

Ivy หัวหน้าฝ่ายรักษาความปลอดภัยของ AWS Professional Services ในอาเซียนพูดถึงการยกระดับมาตรการรักษาความปลอดภัยของตน ตามที่เธอพูด ข้อกำหนดด้านกฎระเบียบควรถูกมองว่าเป็นเพียงจุดเริ่มต้นเท่านั้น 

ธุรกิจควรตั้งเป้าที่จะสร้างวัฒนธรรมด้านความปลอดภัยตั้งแต่เนิ่นๆ เนื่องจากจะเป็นประโยชน์ต่อพวกเขาในระยะยาว เธอกล่าวว่าขณะนี้บริษัทหลายแห่งมองว่าการรักษาความปลอดภัยเป็นปัจจัยในการขาย ซึ่งเป็นมุมมองที่กำลังแพร่หลายมากขึ้นในเอเชีย

Ivy แจกแจงขั้นตอนเริ่มต้นสามขั้นตอนสำหรับหน่วยงานทางการเงินที่ได้รับการควบคุมเพื่อเริ่มต้นโปรแกรมความปลอดภัยบนคลาวด์ ประการแรกคือการปรับเป้าหมายทางธุรกิจให้สอดคล้องกับระดับวุฒิภาวะด้านความปลอดภัยของระบบคลาวด์

ประการที่สองคือการใช้ประโยชน์จากทรัพยากรที่กว้างขวางที่นำเสนอโดยผู้ให้บริการระบบคลาวด์ และประการที่สาม การสร้างการมองเห็นตั้งแต่เริ่มแรกถือเป็นสิ่งสำคัญในการตรวจจับและจัดการกับความเสี่ยงอย่างทันท่วงที

Anand Nirgudkar, CTO ของ CardUp เสนอมุมมองแบบองค์รวม โดยเปรียบเสมือนประสบการณ์การย้ายถิ่นของเมฆกับการนั่งรถไฟเหาะเป็นครั้งแรก เขาย้ำถึงความสำคัญของกระบวนการค้นพบอย่างละเอียดและใช้ประโยชน์จากความช่วยเหลือจากผู้ให้บริการระบบคลาวด์ 

นอกจากนี้ อานันท์ยังเน้นย้ำถึงความจำเป็นของการสร้างแบบจำลองภัยคุกคามและประโยชน์ของการสร้าง "รั้ว" มากกว่า "ประตู"

นอกจากนี้เขายังสนับสนุนให้ชุมชนสำรวจ Cloud Adoption Framework ของ AWS ตั้งแต่ปี 2016 ซึ่งให้คำแนะนำที่ครอบคลุมซึ่งอาจเป็นประโยชน์ ไม่ว่าผู้ให้บริการระบบคลาวด์รายใดรายหนึ่งอาจใช้งานอยู่ก็ตาม

ทำความเข้าใจเสาหลักของความปลอดภัยบนคลาวด์

การอภิปรายเริ่มต้นด้วยการระบุเสาหลักสามประการที่เป็นพื้นฐานของโปรแกรมรักษาความปลอดภัยบนคลาวด์ที่มีประสิทธิภาพ ประการแรก การรักษาความปลอดภัยปลายทางถือเป็นสิ่งสำคัญยิ่ง โดยเฉพาะอย่างยิ่งในอุตสาหกรรมที่เสี่ยงต่อการโจมตีบ่อยครั้ง เช่น ภาคสกุลเงินดิจิทัล 

ประการที่สอง พวกเขาเน้นการป้องกันข้อมูลสูญหาย (DLP) เนื่องจากบุคลากรขยายตัวและดำเนินงานจากระยะไกล การรั่วไหลของข้อมูลจึงกลายเป็นข้อกังวลสำคัญ การรับรองการเข้าถึงข้อมูลที่สำคัญโดยไม่กระทบต่อความปลอดภัยผ่านกลไกต่างๆ เช่น การลงชื่อเข้าระบบครั้งเดียวหรือการตรวจสอบสิทธิ์แบบสองปัจจัยถือเป็นสิ่งสำคัญ

เสาหลักสุดท้ายเกี่ยวข้องกับสุขอนามัยทางไซเบอร์ เมื่อองค์กรเติบโตขึ้น การปลูกฝังวัฒนธรรมแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดีจึงเป็นสิ่งที่ขาดไม่ได้ สร้างความมั่นใจให้กับพนักงานทั้งเก่าและใหม่ การทราบข้อมูลอย่างดีเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้นเป็นสิ่งสำคัญ.

การเปลี่ยนไปใช้ระบบคลาวด์: จะเริ่มต้นที่ไหน

เมื่อพิจารณาการเปลี่ยนไปใช้ระบบคลาวด์ ทั้ง Anand Nirgudkar และ Ivy Young ตอบคำถาม 'จุดเริ่มต้น' อย่างไร อานันท์เน้นย้ำถึงความสำคัญของการทำความเข้าใจและจัดอันดับสินทรัพย์ก่อนตัดสินใจย้ายข้อมูล เขาสนับสนุนให้มีการประเมินตามความเสี่ยงและผลกระทบทางธุรกิจที่เกี่ยวข้องกับการย้ายสินทรัพย์แต่ละรายการที่อาจเกิดขึ้น 

Ivy สะท้อนถึงความรู้สึกที่คล้ายกัน โดยเน้นย้ำถึงความสำคัญของวัตถุประสงค์ทางธุรกิจ เริ่มต้นด้วยการย้ายสินทรัพย์ที่มีความสำคัญน้อยกว่าเพื่อสร้างประสบการณ์ จากนั้นจึงแนะนำให้ค่อยๆ เปลี่ยนแปลงปริมาณงานที่สำคัญมากขึ้น ซึ่งจะช่วยเสริมสร้างความมั่นใจและสร้างสภาพแวดล้อมการเรียนรู้แบบลงมือปฏิบัติจริง

แนวทางปฏิบัติสำหรับคลาวด์สาธารณะของ MAS: ประเด็นสำคัญ

คำถามเร่งด่วนที่สุดข้อหนึ่งเกี่ยวข้องกับการเปลี่ยนแปลงที่เกิดจากแนวปฏิบัติด้านคลาวด์สาธารณะของ MAS อานันท์ได้สรุปองค์ประกอบสำคัญของแนวปฏิบัติอย่างชัดเจน 

เขายกย่อง MAS สำหรับวงจรที่ครอบคลุม ซึ่งเจาะลึกประเด็นต่างๆ ตั้งแต่การแนะนำโมเดลบริการต่างๆ ความรับผิดชอบร่วมกัน การจัดการข้อมูลประจำตัวและการเข้าถึง แนวทางการรักษาความปลอดภัยของปริมาณงาน และหลักการรักษาความปลอดภัยแบบ Zero-Trust 

แนวทางนี้ยังสนับสนุนให้มีการทดสอบอย่างต่อเนื่อง ความปลอดภัยของข้อมูล การจัดการคีย์ และอื่นๆ อีกมากมาย การเน้นที่แนวทางการรักษาความปลอดภัยตามความเสี่ยงเป็นแกนหลักของการรักษาความปลอดภัยบนคลาวด์ทั้งหมด โดยเน้นย้ำถึงความสำคัญของแนวทางที่สมดุลและใช้งานได้จริงในการรักษาความปลอดภัยบนคลาวด์

คลาวด์เป็นสิ่งจำเป็นทางธุรกิจ

แม้ว่าคำถามบางข้อจะตอบไม่ได้เนื่องจากมีข้อจำกัดด้านเวลา แต่ข้อมูลเชิงลึกที่ผู้อภิปรายแบ่งปันให้การเรียนรู้อันล้ำค่า ที่ การสัมมนาผ่านเว็บ 'แนวทางปฏิบัติใหม่ของ MAS Public Cloud ส่งผลต่อคุณอย่างไร' ตอกย้ำว่าการนำระบบคลาวด์มาใช้และการรักษาความปลอดภัยของคลาวด์ไม่ได้เป็นเพียงการตัดสินใจด้านไอทีเท่านั้น แต่ยังเป็นความจำเป็นทางธุรกิจที่สำคัญในยุคดิจิทัลในปัจจุบัน 

แม้ว่าหลักเกณฑ์ MAS ใหม่จะเพิ่มความซับซ้อนอีกชั้นหนึ่ง แต่ยังเป็นการนำเข้าสู่ยุคของการรักษาความปลอดภัย ความโปร่งใส และความไว้วางใจที่ได้รับการปรับปรุงอีกด้วย ในขณะที่องค์กรต่างๆ ดำเนินการตามแนวทางเหล่านี้ แนวทางเชิงรุกเชิงกลยุทธ์และครอบคลุมในการปรับใช้ระบบคลาวด์และการรักษาความปลอดภัยไม่ได้เป็นเพียงการแนะนำเท่านั้น แต่ยังจำเป็นอีกด้วย

ชมการสัมมนาผ่านเว็บตามความต้องการ ที่ลิงค์นี้ เพื่อรับข้อมูลเชิงลึก

Horangi จะเข้าร่วมใน Singapore Fintech Festival ซึ่งจะจัดขึ้นระหว่างวันที่ 15 ถึง 17 พฤศจิกายน เรียนรู้เพิ่มเติมเกี่ยวกับการเข้าร่วมบูธของพวกเขา โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/