Рекомендації MAS щодо публічної хмари: глибоке занурення в її вплив на безпеку хмари – Fintech Singapore

У світі, що стрімко цифровізується, ще більше прискореним пандемією COVID-19, хмарні технології стали наріжним каменем для компаній у всьому світі. Нещодавно Грошово-кредитне управління Сінгапуру (MAS) оприлюднило циркуляр із вказівками щодо публічної хмари щодо кіберризиків, пов’язаних із її впровадженням, що однаково впливає на фінансовий і технологічний сектори. 

Розвиток хмарних технологій змінив спосіб роботи компаній, які раніше не мали виходу до моря. Потреба у посиленні хмарної безпеки, особливо в жорстко регульованій фінтех-індустрії, яка може мати далекосяжні наслідки, ніколи не була більшою. 

Нещодавній вебінар під назвою «Як нові рекомендації MAS Public Cloud впливають на вас» під керівництвом генерального директора Horangi, фахівця з кібербезпеки, Пола Хаджі, зібрала експертів галузі, щоб пролити світло на оновлені вказівки, встановлені Валютним управлінням Сінгапуру (MAS). 

Серед учасників дискусії були Ананд Ніргудкар, технічний директор платіжної фінтех-компанії CardUp, і Айві Янг, керівник відділу безпеки AWS Professional Services, АСЕАН.

Це ключове обговорення за участю деяких провідних експертів галузі, які пропонують цілісне уявлення про публічний хмарний ландшафт у зв’язку з вказівки, встановлені MAS, заглиблюється в його наслідки та їхнє значення для організацій.

Використання потужності хмари

Всюдисущість хмари останніми роками не була втрачена учасниками дискусії. Від забезпечення цілодобової безперебійної роботи до надання доступу до ринкових даних, хмарна інфраструктура є основою їх діяльності.

Тим часом Ананд, розповідаючи про досвід CardUp, наголосив на тому, що компанія орієнтована на хмару, вказавши на дотримання стандарту PCI DSS, найкращі архітектурні практики та регіональне зростання як ключові мотиви їхньої залежності від хмари.

Виклик хмарної безпеки

Незважаючи на величезні переваги хмарних технологій, заслуговують на увагу внутрішні виклики, які вони створюють, особливо у сфері безпеки. Однією з таких проблем є неправильна конфігурація. Ананд підкреслює динамізм хмарної безпеки та згадує горезвісний інцидент Capital One як яскраве нагадування про те, як прості неправильні налаштування можуть призвести до значних порушень.

Однак справа не лише в неправильній конфігурації. Як зазначено в рекомендаціях MAS, керування ідентифікацією та доступом залишається першорядним. Пол наголосив на важливості наявності надійних засобів контролю, особливо щодо практики підключення та відключення.

Розмірковуючи про останні порушення протоколів DeFi Harbor і Exactly в окремих атаках, панель нагадала про мотиви зловмисників. Коли є що отримати більше, увагу зловмисників незмінно привертають. Таким чином, хоча хмарна інфраструктура пропонує незрівнянні переваги, ставки ніколи не були вищими.

Модель спільної відповідальності

Основною темою обговорення була «модель спільної відповідальності». Айві Янг зауважила: «Щось основоположне тут, коли ми розглядаємо безпеку, це модель спільної відповідальності». 

Ця модель наголошує на розподілі відповідальності між хмарними провайдерами та їхніми клієнтами. У той час як хмарні провайдери забезпечують безпеку хмари, клієнти повинні захистити те, що вони розміщують у хмарі, будь то дані чи програми.

Крім того, Айві зазначив, що розуміння моделі спільної відповідальності має важливе значення. Однак виникає проблема, коли це розуміння не перетворюється на щоденні операції та процеси. Як наслідок, можуть виникнути неправильні конфігурації або прогалини в управлінні.

Видимість у хмарній інфраструктурі

Ананд підкреслив важливість видимості в хмарній інфраструктурі. «Фундаментальним аспектом того, чи хочете ви захистити дані чи запобігти чомусь, є аспект видимості», — прокоментував він. 

Наявність повного нагляду забезпечує ефективне запобігання, виявлення та управління інцидентами спеціально для хмари. Такі інструменти, як Incident Manager від AWS, Azure Sentinel та інші, відіграють ключову роль у забезпеченні цієї видимості, допомагаючи організаціям завчасно виявляти неправильні конфігурації та впроваджувати надійні моделі керування.

Розшифровка жаргонів хмарної безпеки

Швидкий розвиток хмарних технологій часто вводить нові терміни та абревіатури. Учасники дискусії провели присутніх у бурхливій екскурсії по них, починаючи з CWPP (платформа захисту хмарних робочих навантажень) до CSPP (керування станом безпеки в хмарі) і, нарешті, CNAPP (платформа захисту рідних хмарних додатків). Головною темою кожного з них було забезпечення безпеки та відповідності вимогам у хмарному середовищі, що швидко розвивається.

«Зрозумійте основні випадки використання», — підкреслила комісія, додавши, що незалежно від абревіатури, увага завжди має бути зосереджена на захисті даних, рівнях керування та забезпеченні надійної хмарної безпеки.

Виклик Alert Fatigue

Хоча наявність інструментів є важливою, Ананд вказав на реальну проблему: «Втома від тривоги реальна». 

Системи безпеки можуть засипати команди сповіщеннями, що призведе до втрати уваги до справжніх загроз серед моря помилкових спрацьовувань. Тому надзвичайно важливо не лише запровадити інструменти, але й переконатися, що вони налаштовані для надання корисної інформації без перевантаження персоналу служби безпеки.

Ознайомлення з Циркуляром MAS про впровадження хмарних технологій

Головною темою вебінару був новий циркуляр Валютного управління Сінгапуру щодо впровадження хмарних технологій для сінгапурських організацій. Циркуляр підкреслює швидку міграцію індустрії фінансових послуг у Сінгапурі на хмарні платформи. 

Як зауважив Пол Хаджі, хоча циркуляр MAS може не деталізувати кожну абревіатуру, він підкреслює важливість наявності ефективних рішень, процесів і стратегій пом’якшення. Метою циркуляру є забезпечення того, щоб регульовані організації підтримували найвищі стандарти хмарної безпеки.

Як керівні принципи MAS Public Cloud впливають на компанії

Пол наголосив на важливості розуміння неправильних конфігурацій у розробці хмари, підкресливши цінність у Рекомендації щодо публічної хмари MAS. Він сказав: «Розробники, знаючи, звідки походить багато неправильних конфігурацій, можуть бути дуже впливовими та важливими». Настанови, за словами Пола, є обов’язковим для прочитання будь-кому в галузі, особливо тим, хто займається технічними аспектами хмари.

Учасники дискусії проливають світло на ширші наслідки керівних принципів. Він підкреслив важливість ознайомлення з цими рекомендаціями не лише для діючих гравців галузі, але й для підприємців-початківців у секторі фінансових технологій. 

Говорячи про бурхливе зростання фінтех-індустрії, учасники комісії сказали: «Динаміка розвитку бізнесу безперечно спрямована до хмари». Вони вважають, що інвестиції мають бути спрямовані на хмарні процедури безпеки, наголошуючи на важливості хмарної роботи, незалежно від того, чи йдеться про обробку інформації, робочий процес або претензії.

Айві, керівник відділу безпеки AWS Professional Services в АСЕАН, розповів про підвищення рівня безпеки. За її словами, нормативні вимоги слід розглядати як лише початок. 

Компанії повинні прагнути створити культуру безпеки на ранній стадії, оскільки це принесе їм користь у довгостроковій перспективі. Вона зазначила, що зараз багато компаній розглядають безпеку як засіб продажу, і ця перспектива стає все більш поширеною в Азії.

Айві перерахував три початкові кроки для регульованих фінансових установ, щоб розпочати свою програму безпеки в хмарі. Одна з них полягає в узгодженні бізнес-цілей із рівнями безпеки хмари.

По-друге, це використання великих ресурсів, які пропонують постачальники хмарних послуг. І по-третє, встановлення видимості з самого початку має вирішальне значення для своєчасного виявлення та усунення ризиків.

Ананд Ніргудкар, технічний директор CardUp, запропонував цілісне бачення, порівнявши досвід хмарної міграції з першою поїздкою на американських гірках. Він знову наголосив на важливості ретельного процесу виявлення та використання допомоги, яку надають постачальники хмарних послуг. 

Крім того, Ананд підкреслив необхідність моделювання загроз і переваги створення «огорож», а не «воріт».

Він також заохочував спільноту ознайомитися з інструкцією AWS Cloud Adoption Framework від 2016 року, яка містить вичерпні вказівки, які можуть бути корисними незалежно від конкретного постачальника хмарних послуг, яким хтось може користуватися.

Розуміння основ хмарної безпеки

Панель розпочалася з визначення трьох основ ефективної програми хмарної безпеки. По-перше, безпека кінцевих точок має першочергове значення, особливо в галузях, схильних до частих атак, таких як сектор криптовалют. 

По-друге, вони звернули увагу на запобігання втраті даних (DLP). У міру того, як робочі сили розширюються та працюють віддалено, витік даних став серйозною проблемою. Забезпечення доступу до важливої ​​інформації без шкоди для безпеки за допомогою таких механізмів, як єдиний вхід або двофакторна автентифікація, є життєво важливим.

Останній стовп обертався навколо кібергігієни. Оскільки організації ростуть, прищеплення культури належної практики кібербезпеки стає незамінним. Переконайтеся, що співробітники, як старі, так і нові, є добре поінформоване про потенційні загрози має вирішальне значення.

Перехід до хмари: з чого почати?

Розглядаючи перехід до хмари, Ананд Ніргудкар і Айві Янг торкалися питання «з чого почати». Ананд наголосив на важливості розуміння та ранжування активів перед прийняттям будь-яких рішень щодо міграції. Він виступав за оцінку на основі ризику та впливу на бізнес, пов’язаного з потенційною міграцією кожного активу. 

Повторюючи подібні почуття, Айві виділила важливість бізнес-цілей. Рекомендовано розпочати з переміщення менш критичних ресурсів для накопичення досвіду, а потім поступово перенести більш критичні робочі навантаження, що зміцнить впевненість і створить середовище для практичного навчання.

Рекомендації MAS Public Cloud: ключові висновки

Одне з найактуальніших питань було пов’язане зі змінами, внесеними рекомендаціями щодо публічної хмари MAS. Ананд надав чіткий виклад основних елементів настанов. 

Він похвалив MAS за його всеосяжний циркуляр, який заглиблюється в різні аспекти, починаючи від впровадження різних моделей обслуговування, спільної відповідальності, ідентифікації та керування доступом, підходів до безпеки робочого навантаження та принципів безпеки без довіри. 

Рекомендації також підтримують постійне тестування, безпеку даних, керування ключами тощо. Акцент на підході безпеки, заснованому на оцінці ризиків, становить основу всього циркуляру, підкреслюючи важливість збалансованого, прагматичного підходу до хмарної безпеки.

Хмара як бізнес-імператив

Хоча не на всі запитання вдалося відповісти через обмеження часу, ідеї, якими поділилися учасники дискусії, пропонують безцінне знання. The Вебінар «Як на вас впливають нові рекомендації MAS Public Cloud». підкреслив, що впровадження та безпека хмари – це не просто ІТ-рішення, а критичні бізнес-імперативи в сучасну цифрову епоху. 

Хоча нові рекомендації MAS створюють додатковий рівень складності, вони також відкривають еру підвищеної безпеки, прозорості та довіри. Оскільки організації орієнтуються на ці вказівки, комплексний, стратегічний і проактивний підхід до впровадження хмарних технологій і забезпечення безпеки не просто рекомендований, а й важливий.

Перегляньте вебінар за запитом за цим посиланням щоб отримати уявлення.

Horangi візьме участь у майбутньому Сінгапурському фестивалі фінансових технологій, який відбудеться з 15 по 17 листопада. Дізнайтеся більше про участь у стенді тут.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/