MAS Genel Bulut Yönergeleri: Bulut Güvenliği Üzerindeki Etkisine Derin Bir Bakış - Fintech Singapur

Hızla dijitalleşen ve COVID-19 salgınının daha da hızlandırdığı bir dünyada bulut teknolojisi, dünya çapındaki işletmeler için çok önemli bir temel taşı haline geldi. Yakın zamanda Singapur Para Otoritesi (MAS), hem finans hem de teknoloji sektörlerini etkileyen, benimsenmesiyle ilişkili siber risklere ilişkin genel bulut yönergelerini içeren bir genelge yayınladı. 

Bulut teknolojisinin evrimi, daha önce denize kıyısı olmayan firmaların çalışma şeklini yeniden şekillendirdi. Özellikle sıkı bir şekilde düzenlenen fintech endüstrisinde, geniş kapsamlı sonuçlara yol açabilecek gelişmiş bulut güvenliğine olan ihtiyaç, hiç bu kadar büyük olmamıştı. 

' başlıklı son web semineriYeni MAS Genel Bulut Yönergeleri Sizi Nasıl Etkiliyor?Siber güvenlik uzmanı Horangi'nin CEO'su Paul Hadjy'nin moderatörlüğünde düzenlenen etkinlik, Singapur Para Otoritesi (MAS) tarafından belirlenen güncellenmiş yönergelere ışık tutmak için sektör uzmanlarını bir araya getirdi. 

Panelistler arasında fintech CardUp ödemeler CTO'su Anand Nirgudkar ve ASEAN AWS ​​Profesyonel Hizmetler Güvenlik Müdürü Ivy Young da vardı.

Sektörün önde gelen uzmanlarından bazılarının yer aldığı bu önemli tartışma, genel bulut ortamına ilişkin bütünsel bir bakış sunuyor. MAS tarafından belirlenen kurallar, bunun etkilerini ve kuruluşlar için ne anlama geldiğini derinlemesine inceliyor.

Bulutun Gücünden Yararlanma

Bulutun son yıllarda her yerde mevcut olması panelistlerin gözünden kaçmadı. 24/7 kesintisiz çalışma sağlamaktan pazar verilerine erişim sağlamaya kadar bulut altyapısı operasyonlarının omurgasını oluşturuyor.

Bu arada CardUp'ın deneyimi hakkında konuşan Anand, şirketin bulut öncelikli ahlakını vurguladı ve PCI DSS bağlılığının, mimari en iyi uygulamaların ve bölgesel büyümenin bulut bağımlılığının temel motivasyon kaynakları olduğuna işaret etti.

Bulut Güvenliğinin Zorlukları

Bulut teknolojisinin sunduğu geniş faydalara rağmen, özellikle güvenlik alanında ortaya çıkardığı doğal zorluklar dikkate değerdir. Bu tür zorluklardan biri yanlış yapılandırmadır. Anand, bulut güvenliğinin dinamizmini vurguluyor ve kötü şöhretli Capital One olayından, basit yanlış yapılandırmaların ne kadar önemli ihlallere yol açabileceğinin kesin bir hatırlatıcısı olarak bahsediyor.

Ancak sorun yalnızca yanlış yapılandırmayla ilgili değil. MAS yönergelerinde de belirtildiği gibi, kimlik ve erişim yönetimi hâlâ en önemli konu olmaya devam ediyor. Paul, özellikle işe alım ve işten çıkarma uygulamalarında sağlam kontrollere sahip olmanın önemini vurguladı.

Yansıtmak son ihlaller Panel, DeFi protokolleri Harbour ve Exactly'e ayrı ayrı yapılan saldırılarda saldırganları yönlendiren saiklerin hatırlatıldığını hatırlattı. Kazanılacak daha çok şey olduğunda saldırganların dikkati her zaman üzerine çekilir. Bu nedenle bulut altyapısı benzersiz avantajlar sunarken, riskler hiç bu kadar yüksek olmamıştı.

Paylaşılan Sorumluluk Modeli

Temel tartışma konusu “paylaşılan sorumluluk modeli” etrafında yoğunlaştı. Ivy Young şunu belirtti: "Güvenliği düşündüğümüzde burada temel olan şey, paylaşılan sorumluluk modelidir." 

Bu model, bulut sağlayıcıları ve müşterileri arasındaki sorumluluk paylaşımını vurgulamaktadır. Bulut sağlayıcıları bulutun güvenliğini sağlarken, müşterilerin de ister veri ister uygulama olsun, buluta koydukları şeylerin güvenliğini sağlaması gerekir.

Ivy ayrıca paylaşılan sorumluluk modelinin anlaşılmasının önemli olduğuna dikkat çekti. Ancak bu anlayış günlük operasyonlara ve süreçlere aktarılmadığında zorluk ortaya çıkıyor. Sonuç olarak, yanlış yapılandırmalar veya yönetim boşlukları ortaya çıkabilir.

Bulut Altyapısında Görünürlük

Anand, bulut altyapısında görünürlüğün önemini vurguladı. "Verileri güvence altına almak mı yoksa herhangi bir şeyi önlemek mi istediğinizin temel yönü görünürlük yönüdür" yorumunu yaptı. 

Kapsamlı gözetime sahip olmak, bulut için özel olarak tasarlanmış etkili önleme, tespit ve olay yönetimi sağlar. AWS'nin Incident Manager'ı, Azure Sentinel ve diğerleri gibi araçlar, bu görünürlüğün sağlanmasında önemli bir rol oynayarak kuruluşların yanlış yapılandırmaları erken tespit etmesine ve güçlü yönetişim modellerini uygulamasına yardımcı olur.

Bulut Güvenliği Jargonlarını Çözme

Bulut teknolojisinin hızlı gelişimi sıklıkla yeni terminolojiler ve kısaltmalar ortaya çıkarmaktadır. Panelistler, katılımcıları CWPP'den (Bulut İş Yükü Koruma Platformu) başlayarak CSPP'ye (Bulut Güvenlik Duruş Yönetimi) ve son olarak CNAPP'ye (Bulut Yerel Uygulama Koruma Platformu) kadar uzanan bir turla gezdirdiler. Her ikisinin arasındaki ana tema, hızla gelişen bulut ortamında güvenlik ve uyumluluğun sağlanmasıydı.

Panel, "Temel kullanım durumlarını anlayın" vurgusunu yaptı ve kısaltma ne olursa olsun odak noktasının her zaman verilerin korunması, düzlemlerin kontrol edilmesi ve güçlü bulut güvenliğinin sağlanması olması gerektiğini ekledi.

Uyarı Yorgunluğu Mücadelesi

Anand, aletlerin yerinde olması önemli olsa da asıl zorluğa dikkat çekti: "Uyarı yorgunluğu gerçektir." 

Güvenlik sistemleri ekiplerin uyarı yağmuruna tutmasına neden olabilir ve bu da yanlış pozitifler denizinin ortasında gerçek tehditlere odaklanmanın kaybolmasına yol açabilir. Bu nedenle, yalnızca araçları uygulamak değil, aynı zamanda güvenlik personelini yormadan, eyleme geçirilebilir bilgiler sağlayacak şekilde uyarlanmalarını sağlamak da çok önemlidir.

Bulut Benimseme Konusunda MAS Genelgesinin İncelenmesi

Singapur Para Otoritesi'nin Singapurlu kuruluşlar için bulutun benimsenmesine ilişkin yeni genelgesi, web seminerinin ana odak noktasıydı. Genelge, Singapur'daki finansal hizmetler sektörünün bulut platformlarına hızla geçişini vurguluyor. 

Paul Hadjy'nin gözlemlediği gibi, MAS genelgesi her kısaltmanın ayrıntısını vermese de etkili çözümlerin, süreçlerin ve hafifletme stratejilerinin mevcut olmasının öneminin altını çiziyor. Genelgenin amacı, denetlenen kuruluşların en yüksek bulut güvenliği standartlarını korumasını sağlamakla uyumludur.

MAS Genel Bulut Yönergeleri Firmaları Nasıl Etkiliyor?

Paul, bulut geliştirmedeki yanlış yapılandırmaları anlamanın önemini vurguladı ve bulut geliştirmedeki değeri vurguladı. MAS genel bulut yönergeleri. "Yanlış yapılandırmaların çoğunun nereden geldiğini bilen geliştiriciler çok etkili ve önemli olabilir" dedi. Paul'a göre yönergeler, sektördeki herkesin, özellikle de bulutun teknik yönleriyle ilgilenenlerin mutlaka okuması gerekenler.

Panelistler, kuralların daha geniş kapsamlı sonuçlarına ışık tuttular. Sadece mevcut sektör oyuncularının değil, aynı zamanda fintech sektöründe yetişen girişimcilerin de bu yönergelere aşina olmasının önemine dikkat çekti. 

Fintech sektörünün gelişen büyümesine değinen panelde, "İşin gittiği yerin dinamikleri kesinlikle buluta doğru" ifadeleri kullanıldı. Yatırımların bulut güvenliği prosedürlerine yönlendirilmesi gerektiğine inanıyorlar ve ister bilgi işleme, ister iş akışı veya talepler olsun, bulut tabanlı çalışmanın önemini vurguluyorlar.

ASEAN'daki AWS Profesyonel Hizmetler Güvenlik Müdürü Ivy, kişinin güvenlik duruşunu geliştirme hakkında konuştu. Ona göre düzenleyici gereklilikler sadece başlangıç ​​olarak görülmelidir. 

İşletmeler, uzun vadede onlara fayda sağlayacağından, erkenden bir güvenlik kültürü oluşturmayı hedeflemelidir. Pek çok şirketin artık güvenliği satışı kolaylaştırıcı bir unsur olarak gördüğünü ve bu bakış açısının Asya'da giderek yaygınlaştığını belirtti.

Ivy, düzenlemeye tabi finansal kuruluşların bulut güvenliği programlarını başlatmaları için üç ilk adımı sıraladı. Bunlardan biri, iş hedeflerini bulutun güvenlik olgunluk düzeyleriyle uyumlu hale getirmektir.

İkincisi, bulut hizmet sağlayıcılarının sunduğu kapsamlı kaynaklardan yararlanmaktır. Üçüncüsü, riskleri zamanında tespit etmek ve ele almak için başlangıçtan itibaren görünürlük oluşturmak çok önemlidir.

CardUp CTO'su Anand Nirgudkar, buluta geçiş deneyimini ilk kez hız trenine binmeye benzeten bütünsel bir bakış açısı sundu. Kapsamlı bir keşif sürecinin ve bulut hizmeti sağlayıcılarının sağladığı yardımdan yararlanmanın önemini yineledi. 

Ayrıca Anand, tehdit modellemenin gerekliliğini ve "kapılar" yerine "korkuluklar" oluşturmanın faydalarını vurguladı.

Kendisi aynı zamanda topluluğu, hangi bulut hizmet sağlayıcısının kullanıldığına bakılmaksızın faydalı olabilecek kapsamlı rehberlik sağlayan AWS'nin 2016 tarihli Bulut Benimseme Çerçevesini keşfetmeye de teşvik etti.

Bulut Güvenliğinin Temellerini Anlamak

Panel, etkili bir bulut güvenliği programının temelini oluşturan üç temel unsuru belirleyerek başladı. İlk olarak uç nokta güvenliği, özellikle kripto para birimi sektörü gibi sık saldırılara maruz kalan sektörlerde büyük önem taşıyor. 

İkinci olarak, veri kaybı önleme (DLP) konusuna dikkat çektiler. İşgücü genişledikçe ve uzaktan çalışmaya başladıkça, veri sızıntısı belirgin bir endişe haline geldi. Tek oturum açma veya iki faktörlü kimlik doğrulama gibi mekanizmalar aracılığıyla güvenlikten ödün vermeden önemli bilgilere erişimin sağlanması hayati önem taşıyor.

Son sütun siber hijyen etrafında dönüyordu. Kuruluşlar büyüdükçe iyi siber güvenlik uygulamaları kültürünü aşılamak vazgeçilmez hale geliyor. Hem eski hem de yeni çalışanların güvence altına alınması Potansiyel tehditler hakkında iyi bilgi sahibi olmak çok önemlidir.

Buluta Geçiş: Nereden Başlamalı?

Buluta geçiş düşünülürken "nereden başlamalı" sorusu hem Anand Nirgudkar hem de Ivy Young tarafından ele alındı. Anand, herhangi bir geçiş kararı vermeden önce varlıkları anlamanın ve sıralamanın önemini vurguladı. Her bir varlığın potansiyel geçişiyle ilişkili risk ve iş etkisine dayalı bir değerlendirme yapılmasını savundu. 

Benzer duyguları dile getiren Ivy, iş hedeflerinin önemine dikkat çekti. Deneyim oluşturmak için daha az kritik varlıkların taşınmasıyla başlanması ve daha sonra kademeli olarak daha kritik iş yüklerine geçiş yapılması önerildi, böylece güven artırıldı ve uygulamalı bir öğrenme ortamı geliştirildi.

MAS Genel Bulut Yönergeleri: Temel Çıkarımlar

En acil sorulardan biri MAS genel bulut yönergelerinin getirdiği değişikliklerle ilgiliydi. Anand, kuralların temel unsurlarının anlaşılır bir özetini sundu. 

Çeşitli hizmet modellerinin tanıtılması, paylaşılan sorumluluklar, kimlik ve erişim yönetimi, iş yükü güvenliği yaklaşımları ve sıfır güven güvenlik ilkeleri gibi konuları ele alan kapsamlı genelgesi nedeniyle MAS'a övgüde bulundu. 

Yönergeler aynı zamanda sürekli test, veri güvenliği, anahtar yönetimi ve daha fazlasını da savunuyor. Risk bazlı güvenlik yaklaşımına yapılan vurgu, genelgenin tamamının omurgasını oluşturuyor ve bulut güvenliğine dengeli, pragmatik bir yaklaşımın önemini vurguluyor.

İş Zorunluluğu Olarak Bulut

Zaman kısıtlaması nedeniyle tüm soruların yanıtlanması mümkün olmasa da panelistlerin paylaştığı bilgiler paha biçilmez bilgiler sunuyor. 'Yeni MAS Genel Bulut Yönergeleri Sizi Nasıl Etkiliyor' web semineri Bulutun benimsenmesinin ve güvenliğinin yalnızca BT kararları olmadığını, günümüzün dijital çağında kritik iş zorunlulukları olduğunun altını çizdi. 

Yeni MAS yönergeleri ek bir karmaşıklık katmanı sunarken aynı zamanda gelişmiş güvenlik, şeffaflık ve güven çağını da başlatıyor. Kuruluşlar bu yönergelerde gezinirken, bulutun benimsenmesi ve güvenliğine yönelik kapsamlı, stratejik ve proaktif bir yaklaşım yalnızca tavsiye edilmekle kalmaz, aynı zamanda zorunludur.

İsteğe bağlı web seminerini izleyin bu bağlantıdaki içgörü kazanmak için.

Horangi, 15-17 Kasım tarihleri ​​arasında gerçekleşecek olan Singapur Fintech Festivaline katılacak. Stand katılımları hakkında daha fazla bilgi edinin okuyun.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/