Nguyên tắc đám mây công cộng của MAS: Đi sâu vào tác động của nó đối với bảo mật đám mây – Fintech Singapore

Trong bối cảnh thế giới số hóa nhanh chóng và bị đại dịch COVID-19 đẩy mạnh hơn nữa, công nghệ đám mây đã trở thành nền tảng then chốt cho các doanh nghiệp trên toàn thế giới. Gần đây, Cơ quan tiền tệ Singapore (MAS) đã đưa ra thông tư hướng dẫn về đám mây công cộng liên quan đến các rủi ro mạng liên quan đến việc áp dụng nó, ảnh hưởng đến cả lĩnh vực tài chính và công nghệ. 

Sự phát triển của công nghệ đám mây đã định hình lại cách thức hoạt động của các công ty nằm trong đất liền trước đây. Nhu cầu tăng cường bảo mật đám mây, đặc biệt là trong ngành công nghệ tài chính được quản lý chặt chẽ và có thể có những tác động sâu rộng, chưa bao giờ lớn hơn thế. 

Hội thảo trực tuyến gần đây có tựa đề 'Nguyên tắc đám mây công cộng mới của MAS tác động đến bạn như thế nào', được kiểm duyệt bởi Paul Hadjy, Giám đốc điều hành của chuyên gia an ninh mạng Horangi, đã tập hợp các chuyên gia trong ngành để làm sáng tỏ các hướng dẫn cập nhật do Cơ quan tiền tệ Singapore (MAS) đặt ra. 

Tham luận viên bao gồm Anand Nirgudkar, CTO thanh toán fintech CardUp và Ivy Young, Giám đốc bảo mật tại AWS Professional Services, ASEAN.

Cuộc thảo luận quan trọng này, với sự góp mặt của một số chuyên gia hàng đầu trong ngành, đưa ra cái nhìn toàn diện về bối cảnh đám mây công cộng liên quan đến hướng dẫn do MAS đặt ra, đi sâu vào ý nghĩa của nó và ý nghĩa của chúng đối với các tổ chức.

Khai thác sức mạnh của đám mây

Sự hiện diện khắp nơi của đám mây trong những năm gần đây đã không bị các thành viên tham gia hội thảo đánh mất. Từ việc đảm bảo thời gian hoạt động 24/7 đến cung cấp quyền truy cập dữ liệu thị trường, cơ sở hạ tầng đám mây là xương sống cho hoạt động của họ.

Trong khi đó, Anand, phát biểu về trải nghiệm của CardUp, đã nhấn mạnh đặc tính ưu tiên đám mây của công ty, chỉ ra việc tuân thủ PCI DSS, các biện pháp thực hành tốt nhất về kiến ​​trúc và sự phát triển trong khu vực là động lực chính cho sự phụ thuộc vào đám mây của họ.

Thách thức của bảo mật đám mây

Bất chấp những lợi ích to lớn mà công nghệ đám mây mang lại, những thách thức cố hữu mà nó đặt ra, đặc biệt là trong lĩnh vực bảo mật, cũng rất đáng chú ý. Một thách thức như vậy là cấu hình sai. Anand nhấn mạnh tính năng động của bảo mật đám mây và trích dẫn sự cố Capital One khét tiếng như một lời nhắc nhở rõ ràng về việc cấu hình sai đơn giản có thể dẫn đến những vi phạm nghiêm trọng như thế nào.

Tuy nhiên, vấn đề không chỉ là cấu hình sai. Như đã chỉ ra trong hướng dẫn của MAS, quản lý danh tính và quyền truy cập vẫn là điều tối quan trọng. Paul nhấn mạnh tầm quan trọng của việc áp dụng các biện pháp kiểm soát chặt chẽ, đặc biệt là với các hoạt động đưa vào và ra khỏi công ty.

Suy ngẫm về vi phạm gần đây của các giao thức DeFi Harbor và Chính xác trong các cuộc tấn công riêng biệt, hội thảo đã nhắc nhở về động cơ thúc đẩy những kẻ tấn công. Khi có được nhiều thứ hơn, sự chú ý của kẻ tấn công luôn bị thu hút. Như vậy, mặc dù cơ sở hạ tầng đám mây mang lại những lợi thế vô song nhưng rủi ro chưa bao giờ cao hơn.

Mô hình chia sẻ trách nhiệm

Chủ đề thảo luận cốt lõi xoay quanh “mô hình trách nhiệm chung”. Ivy Young nhận xét: “Điều cơ bản ở đây, khi chúng tôi xem xét vấn đề bảo mật, là mô hình trách nhiệm chung”. 

Mô hình này nhấn mạnh sự phân chia trách nhiệm giữa các nhà cung cấp đám mây và khách hàng của họ. Trong khi các nhà cung cấp đám mây đảm bảo tính bảo mật của đám mây thì khách hàng phải bảo mật những gì họ đưa vào đám mây, có thể là dữ liệu hoặc ứng dụng.

Ivy chỉ ra thêm rằng việc hiểu mô hình trách nhiệm chung là điều cần thiết. Tuy nhiên, thách thức nảy sinh khi sự hiểu biết này không được chuyển thành các hoạt động và quy trình hàng ngày. Do đó, các cấu hình sai hoặc lỗ hổng quản trị có thể xuất hiện.

Khả năng hiển thị trong cơ sở hạ tầng đám mây

Anand nhấn mạnh tầm quan trọng của khả năng hiển thị trong cơ sở hạ tầng đám mây. Ông nhận xét: “Khía cạnh cơ bản của việc bạn muốn bảo mật dữ liệu hay ngăn chặn bất cứ điều gì là khía cạnh khả năng hiển thị”. 

Việc giám sát toàn diện đảm bảo việc ngăn chặn, phát hiện và quản lý sự cố hiệu quả được thiết kế riêng cho đám mây. Các công cụ như Trình quản lý sự cố của AWS, Azure Sentinel và các công cụ khác đóng vai trò then chốt trong việc cung cấp khả năng hiển thị này, giúp các tổ chức phát hiện sớm các cấu hình sai và triển khai các mô hình quản trị mạnh mẽ.

Giải mã các thuật ngữ bảo mật đám mây

Sự phát triển nhanh chóng của công nghệ đám mây thường đưa ra những thuật ngữ và từ viết tắt mới. Những người tham gia hội thảo đã đưa những người tham dự tham gia một chuyến tham quan ngắn gọn về những vấn đề này, bắt đầu từ CWPP (Nền tảng bảo vệ khối lượng công việc trên đám mây) đến CSPP (Quản lý tư thế bảo mật đám mây) và cuối cùng là CNAPP (Nền tảng bảo vệ ứng dụng gốc trên nền tảng đám mây). Chủ đề bao trùm giữa mỗi chủ đề là đảm bảo tính bảo mật và tuân thủ trong môi trường đám mây đang phát triển nhanh chóng.

“Hiểu các trường hợp sử dụng cốt lõi”, hội thảo nhấn mạnh và nói thêm rằng bất kể từ viết tắt nào, trọng tâm phải luôn là bảo vệ dữ liệu, mặt phẳng kiểm soát và đảm bảo an ninh đám mây mạnh mẽ.

Thử thách cảnh giác mệt mỏi

Mặc dù việc trang bị sẵn các công cụ là điều cần thiết nhưng Anand đã chỉ ra thách thức thực sự: “Cảnh báo sự mệt mỏi là có thật”. 

Hệ thống an ninh có thể gửi cảnh báo đến các nhóm, dẫn đến mất tập trung vào các mối đe dọa thực sự giữa một biển thông tin dương tính giả. Do đó, điều quan trọng không chỉ là triển khai các công cụ mà còn phải đảm bảo chúng được điều chỉnh để cung cấp những hiểu biết sâu sắc có thể hành động mà không làm quá tải nhân viên an ninh.

Đi sâu vào Thông tư MAS về việc áp dụng đám mây

Thông tư mới của Cơ quan tiền tệ Singapore về việc áp dụng đám mây dành cho các tổ chức Singapore là tâm điểm chính của hội thảo trực tuyến. Thông tư nhấn mạnh sự di chuyển nhanh chóng của ngành dịch vụ tài chính ở Singapore sang nền tảng đám mây. 

Như Paul Hadjy đã quan sát, mặc dù thông tư MAS có thể không nêu chi tiết mọi từ viết tắt nhưng nó nhấn mạnh tầm quan trọng của việc áp dụng các giải pháp, quy trình và chiến lược giảm thiểu hiệu quả. Mục tiêu của thông tư phù hợp với việc đảm bảo rằng các đơn vị được quản lý duy trì các tiêu chuẩn cao nhất về bảo mật đám mây.

Nguyên tắc đám mây công cộng của MAS tác động đến các công ty như thế nào

Paul nhấn mạnh tầm quan trọng của việc hiểu các cấu hình sai trong quá trình phát triển đám mây, nêu bật giá trị trong Nguyên tắc đám mây công cộng của MAS. Anh ấy nói, “Các nhà phát triển, biết được rất nhiều cấu hình sai đến từ đâu, có thể rất có ảnh hưởng và quan trọng.” Theo Paul, các hướng dẫn này là tài liệu cần thiết cho bất kỳ ai trong ngành, đặc biệt là những người liên quan đến khía cạnh kỹ thuật của đám mây.

Các tham luận viên đã làm sáng tỏ ý nghĩa rộng hơn của các hướng dẫn. Ông chỉ ra tầm quan trọng đối với không chỉ những người chơi hiện tại trong ngành mà cả những doanh nhân mới chớm nở trong lĩnh vực fintech trong việc làm quen với những hướng dẫn này. 

Nói về sự tăng trưởng ngày càng nhanh của ngành công nghiệp fintech, hội thảo cho biết: “Động lực của hoạt động kinh doanh đang hướng tới chắc chắn là hướng tới đám mây”. Họ tin rằng đầu tư nên hướng tới các quy trình bảo mật đám mây, nhấn mạnh tầm quan trọng của công việc dựa trên đám mây, cho dù nó liên quan đến việc xử lý thông tin, quy trình làm việc hay khiếu nại.

Ivy, Giám đốc bảo mật tại AWS Professional Services ở ASEAN, đã phát biểu về việc nâng cao tư thế bảo mật của một người. Theo bà, các yêu cầu pháp lý chỉ nên được coi là bước khởi đầu. 

Các doanh nghiệp nên đặt mục tiêu sớm xây dựng văn hóa bảo mật vì điều này sẽ có lợi cho họ về lâu dài. Cô đề cập rằng nhiều công ty hiện nay coi vấn đề bảo mật như một yếu tố hỗ trợ bán hàng, một quan điểm ngày càng trở nên phổ biến ở châu Á.

Ivy liệt kê ba bước ban đầu để các tổ chức tài chính được quản lý khởi động chương trình bảo mật đám mây của họ. Một là điều chỉnh các mục tiêu kinh doanh phù hợp với mức độ hoàn thiện về bảo mật của đám mây.

Thứ hai là tận dụng các nguồn tài nguyên phong phú được cung cấp bởi các nhà cung cấp dịch vụ đám mây. Và thứ ba, việc thiết lập tầm nhìn ngay từ đầu là rất quan trọng để phát hiện và giải quyết rủi ro kịp thời.

Anand Nirgudkar, CTO của CardUp, đã đưa ra một cái nhìn toàn diện, ví trải nghiệm di chuyển trên đám mây giống như lần đầu tiên đi tàu lượn siêu tốc. Ông nhắc lại tầm quan trọng của quá trình khám phá kỹ lưỡng và tận dụng sự trợ giúp do các nhà cung cấp dịch vụ đám mây cung cấp. 

Hơn nữa, Anand nhấn mạnh sự cần thiết của việc lập mô hình mối đe dọa và lợi ích của việc tạo ra “lan can” thay vì “cổng”.

Ông cũng khuyến khích cộng đồng khám phá Khung áp dụng đám mây của AWS từ năm 2016, khung này cung cấp hướng dẫn toàn diện có thể mang lại lợi ích, bất kể nhà cung cấp dịch vụ đám mây cụ thể mà người ta có thể đang sử dụng.

Hiểu các trụ cột của bảo mật đám mây

Hội thảo bắt đầu bằng việc xác định ba trụ cột cơ bản cho một chương trình bảo mật đám mây hiệu quả. Thứ nhất, bảo mật điểm cuối có tầm quan trọng tối cao, đặc biệt là trong các ngành dễ bị tấn công thường xuyên, chẳng hạn như lĩnh vực tiền điện tử. 

Thứ hai, họ chú trọng đến việc ngăn ngừa mất dữ liệu (DLP). Khi lực lượng lao động mở rộng và hoạt động từ xa, rò rỉ dữ liệu đã trở thành mối lo ngại lớn. Đảm bảo quyền truy cập vào thông tin quan trọng mà không ảnh hưởng đến bảo mật thông qua các cơ chế như đăng nhập một lần hoặc xác thực hai yếu tố là rất quan trọng.

Trụ cột cuối cùng xoay quanh vấn đề vệ sinh mạng. Khi các tổ chức phát triển, việc thấm nhuần văn hóa thực hành an ninh mạng tốt trở nên không thể thiếu. Đảm bảo nhân viên, cả cũ và mới, đều được thông tin đầy đủ về các mối đe dọa tiềm ẩn là rất quan trọng.

Chuyển đổi sang Đám mây: Bắt đầu từ đâu?

Khi xem xét chuyển sang đám mây, câu hỏi 'bắt đầu từ đâu' đã được cả Anand Nirgudkar và Ivy Young giải quyết. Anand nhấn mạnh tầm quan trọng của việc hiểu và xếp hạng tài sản trước khi đưa ra bất kỳ quyết định di chuyển nào. Ông ủng hộ việc đánh giá dựa trên rủi ro và tác động kinh doanh liên quan đến khả năng di chuyển của từng tài sản. 

Đồng tình với quan điểm tương tự, Ivy chỉ ra tầm quan trọng của các mục tiêu kinh doanh. Chúng tôi khuyên nên bắt đầu bằng việc di chuyển các tài sản ít quan trọng hơn để tích lũy kinh nghiệm, sau đó chuyển dần dần các khối lượng công việc quan trọng hơn, từ đó nuôi dưỡng sự tự tin và nuôi dưỡng môi trường học tập thực hành.

Nguyên tắc đám mây công cộng của MAS: Những bài học chính

Một trong những câu hỏi cấp bách nhất có liên quan đến những thay đổi do nguyên tắc đám mây công cộng của MAS mang lại. Anand đã cung cấp một bản tóm tắt rõ ràng về các yếu tố thiết yếu của hướng dẫn. 

Ông ca ngợi MAS vì thông tư toàn diện, trong đó đi sâu vào các khía cạnh từ việc giới thiệu các mô hình dịch vụ khác nhau, chia sẻ trách nhiệm, quản lý danh tính và quyền truy cập, các phương pháp bảo mật khối lượng công việc và các nguyên tắc bảo mật không tin cậy. 

Các nguyên tắc này cũng ủng hộ việc thử nghiệm liên tục, bảo mật dữ liệu, quản lý khóa, v.v. Việc nhấn mạnh vào cách tiếp cận bảo mật dựa trên rủi ro là xương sống của toàn bộ thông tư, nhấn mạnh tầm quan trọng của cách tiếp cận cân bằng, thực tế đối với bảo mật đám mây.

Đám mây là mệnh lệnh kinh doanh

Mặc dù không phải tất cả các câu hỏi đều có thể được giải quyết do hạn chế về thời gian, nhưng những hiểu biết sâu sắc được chia sẻ bởi các tham luận viên sẽ mang lại những bài học quý giá. Các Hội thảo trực tuyến 'Nguyên tắc đám mây công cộng mới của MAS tác động đến bạn như thế nào' nhấn mạnh việc áp dụng và bảo mật đám mây không chỉ là những quyết định về CNTT mà còn là những mệnh lệnh kinh doanh quan trọng trong thời đại kỹ thuật số ngày nay. 

Mặc dù các hướng dẫn mới của MAS đưa ra mức độ phức tạp cao hơn nhưng chúng cũng mở ra một kỷ nguyên nâng cao tính bảo mật, minh bạch và tin cậy. Khi các tổ chức điều hướng các nguyên tắc này, một cách tiếp cận toàn diện, chiến lược và chủ động đối với việc áp dụng và bảo mật đám mây không chỉ được khuyến khích mà còn rất cần thiết.

Xem hội thảo trực tuyến theo yêu cầu Tại liên kết này để có được những hiểu biết sâu sắc.

Horangi sẽ tham gia Lễ hội Fintech Singapore sắp tới diễn ra từ ngày 15 đến ngày 17 tháng XNUMX. Tìm hiểu thêm về việc tham gia gian hàng của họ tại đây.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/