בתוך עולם דיגיטלי מהיר, המואץ עוד יותר על ידי מגיפת COVID-19, טכנולוגיית הענן הפכה לאבן יסוד מרכזית עבור עסקים ברחבי העולם. לאחרונה, הרשות המוניטרית של סינגפור (MAS) הציגה חוזר עם הנחיות ענן ציבורי הנוגע לסיכוני הסייבר הקשורים לאימוץ, המשפיעים על המגזר הפיננסי והטכנולוגי כאחד.
האבולוציה של טכנולוגיית הענן שינתה את אופן פעולתן של חברות שהיו נטולות קרקע בעבר. הצורך באבטחת ענן משופרת, בייחוד בתעשיית הפינטק המבוגרת בקפדנות, שיכולה להיות בעלת השלכות מרחיקות לכת, מעולם לא היה גדול יותר.
הסמינר המקוון האחרון שכותרתו 'כיצד ההנחיות החדשות של MAS Public Cloud משפיעות עליך', בהנחייתו של מומחה אבטחת הסייבר, מנכ"ל הורנגי, פול האדג'י, הפגיש מומחים בתעשייה כדי לשפוך אור על ההנחיות המעודכנות שנקבעו על ידי הרשות המוניטרית של סינגפור (MAS).
משתתפי הפאנל כללו את אנאנד נירגודקאר, CTO של Fintech CardUp לתשלומים ואיבי יאנג, ראש אבטחה ב-AWS Professional Services, ASEAN.
דיון מרכזי זה, בהשתתפות כמה מהמומחים המובילים בתעשייה המציעים מבט הוליסטי של נוף הענן הציבורי ביחס ל- הנחיות שנקבעו על ידי MAS, מתעמק בהשלכותיה ובמשמעותן עבור ארגונים.
רתימת כוחו של הענן
הנוכחות בכל מקום של הענן בשנים האחרונות לא אבדה בקרב חברי הפאנל. מהבטחת זמן פעולה 24/7 ועד למתן גישה לנתוני שוק, תשתית ענן היא עמוד השדרה של הפעילות שלהם.
בינתיים, אנאנד, שדיבר על הניסיון של CardUp, הדגיש את האתוס של החברה בענן ראשון, והצביע על דבקות ב-PCI DSS, שיטות עבודה מומלצות ארכיטקטוניות וצמיחה אזורית כמניעים מרכזיים לתלות שלהם בענן.
האתגר של אבטחת ענן
למרות היתרונות העצומים שמציעה טכנולוגיית הענן, האתגרים המובנים שהיא מציבה, במיוחד בתחום האבטחה, ראויים לציון. אתגר אחד כזה הוא תצורה שגויה. אנאנד מדגיש את הדינמיות של אבטחת ענן ומצטט את התקרית הידועה לשמצה ב-Capital One כתזכורת ברורה לאופן שבו תצורה שגויה פשוטה יכולה להוביל להפרות משמעותיות.
עם זאת, זה לא רק על תצורה שגויה. כפי שצוין בהנחיות ה-MAS, ניהול הזהות והגישה נותר בעל חשיבות עליונה. פול הדגיש את החשיבות של בקרות חזקות במקום, במיוחד עם נוהלי כניסה ויציאה מהמטוס.
הרהור על ה הפרות האחרונות של פרוטוקולי DeFi Harbor ו-Exactly בהתקפות נפרדות, הפאנל הזכיר את המניעים שמניעים תוקפים. כשיש יותר מה להרוויח, תשומת הלב של התוקפים נמשכת תמיד. ככזה, בעוד שתשתית ענן מציעה יתרונות שאין שני להם, ההימור מעולם לא היה גבוה יותר.
מודל האחריות המשותפת
נושא מרכזי לדיון שהתרכז סביב "מודל האחריות המשותפת". אייבי יאנג העיר, "משהו בסיסי כאן, כשאנחנו מתייחסים לאבטחה, הוא מודל של אחריות משותפת."
מודל זה מדגיש את חלוקת האחריות בין ספקי ענן ללקוחותיהם. בעוד שספקי ענן מבטיחים את האבטחה של הענן, הלקוחות חייבים לאבטח את מה שהם מכניסים לענן, בין אם זה נתונים או יישומים.
אייבי ציין עוד שהבנת מודל האחריות המשותפת היא חיונית. עם זאת, האתגר מתעורר כאשר הבנה זו אינה מתורגמת לפעולות ותהליכים יומיומיים. כתוצאה מכך, עלולות להופיע תצורות שגויות או פערי ממשל.
נראות בתשתית ענן
אנאנד הדגיש את חשיבות הנראות בתשתית הענן. "ההיבט הבסיסי של האם אתה רוצה לאבטח נתונים או למנוע משהו הוא היבט הנראות", הוא העיר.
פיקוח מקיף מבטיח מניעה, זיהוי וניהול אירועים יעילים המותאם לענן. כלים כמו מנהל האירועים של AWS, Azure Sentinel ואחרים ממלאים תפקיד מרכזי בהצעת הנראות הזו, ועוזרים לארגונים לזהות הגדרות שגויות מוקדם ולהטמיע מודלים של ממשל חזקים.
פענוח ז'רגון אבטחה בענן
ההתפתחות המהירה של טכנולוגיית הענן מציגה לעתים קרובות מינוחים וראשי תיבות חדשים. חברי הפאנל לקחו את המשתתפים לסיור סוער באלה, החל מ-CWPP (פלטפורמת הגנת עומסי עבודה בענן) ל-CSPP (ניהול עמדות אבטחה בענן) ולבסוף CNAPP (פלטפורמת הגנת יישומי ענן Native). הנושא הכולל בין כל אחד מהם היה הבטחת אבטחה ותאימות בסביבת הענן המתפתחת במהירות.
"הבן את מקרי השימוש העיקריים", הדגיש הפאנל, והוסיף כי ללא קשר לראשי התיבות, ההתמקדות צריכה להיות תמיד בשמירה על נתונים, שליטה במטוסים והבטחת אבטחת ענן חזקה.
אתגר עייפות ההתראה
בעוד שיש הכלים במקום חיוני, אנאנד הצביע על האתגר האמיתי: "עייפות התראה היא אמיתית."
מערכות אבטחה יכולות להציף צוותים בהתראות, מה שמוביל לאובדן מיקוד באיומים אמיתיים בתוך ים של תוצאות שווא. לפיכך, זה חיוני לא רק ליישם כלים, אלא גם להבטיח שהם מותאמים לספק תובנות ניתנות לפעולה מבלי להכריע את אנשי האבטחה.
התעמקות בחוזר MAS בנושא אימוץ ענן
החוזר החדש של הרשות המוניטרית של סינגפור בנושא אימוץ ענן עבור ארגונים סינגפוריים היה המוקד העיקרי של הסמינר המקוון. החוזר מדגיש את ההגירה המהירה של תעשיית השירותים הפיננסיים בסינגפור לפלטפורמות ענן.
כפי שציין פול האדג'י, בעוד שחוזר ה-MAS לא יפרט כל ראשי תיבות, הוא מדגיש את החשיבות של קיום פתרונות, תהליכים ואסטרטגיות הפחתה יעילים. מטרת החוזר עולה בקנה אחד עם להבטיח שגופים מפוקחים ישמרו על הסטנדרטים הגבוהים ביותר של אבטחת ענן.
כיצד משפיעות הנחיות MAS Public Cloud על חברות
פול הדגיש את החשיבות של הבנת התצורות השגויות בפיתוח ענן, והדגיש את הערך ב- הנחיות ענן ציבורי של MAS. לדבריו, "מפתחים, שיודעים מהיכן מגיעים הרבה מהתצורות השגויות, יכולים להיות מאוד משפיעים וחשובים." ההנחיות, לדברי פול, מהוות קריאה חיונית לכל אחד בתעשייה, במיוחד אלה המעורבים בהיבטים הטכניים של הענן.
חברי הפאנל שופכים אור על ההשלכות הרחבות יותר של ההנחיות. הוא הצביע על החשיבות של לא רק שחקני התעשייה הנוכחיים אלא גם יזמים מתחילים במגזר הפינטק להכיר את ההנחיות הללו.
כשדיברו על הצמיחה המתפתחת של תעשיית הפינטק, הפאנל אמר, "הדינמיקה של לאן עסקים הולכים היא בהחלט לכיוון הענן." הם מאמינים שיש להפנות את ההשקעה להליכי אבטחה בענן, תוך שימת דגש על המשמעות של עבודה מבוססת ענן, בין אם מדובר בטיפול במידע, זרימת עבודה או תביעות.
אייבי, ראש תחום האבטחה בשירותים מקצועיים של AWS ב-ASEAN, דיבר על שיפור עמדת האבטחה של האדם. לדבריה, יש לראות בדרישות הרגולטוריות רק את ההתחלה.
עסקים צריכים לשאוף לבנות תרבות אבטחה בשלב מוקדם, שכן הדבר יועיל להם בטווח הארוך. היא הזכירה שחברות רבות רואות כעת באבטחה גורם מכירות, פרספקטיבה שהופכת נפוצה יותר ויותר באסיה.
אייבי מנה שלושה שלבים ראשוניים עבור גופים פיננסיים מפוקחים כדי להתחיל את תוכנית האבטחה בענן שלהם. האחת היא להתאים את היעדים העסקיים לרמות הבגרות של האבטחה של הענן.
השני הוא למנף את המשאבים הנרחבים שמציעים ספקי שירותי ענן. ושלישית, ביסוס נראות מלכתחילה הוא חיוני כדי לזהות ולטפל בסיכונים בזמן.
אנאנד נירגודקאר, CTO של CardUp, הציע מבט הוליסטי, והשווה את החוויה של נדידת ענן לנסיעה ברכבת הרים בפעם הראשונה. הוא חזר על החשיבות של תהליך גילוי יסודי ומינוף העזרה שמספקים ספקי שירותי ענן.
יתרה מכך, אנאנד הדגיש את ההכרח במודל איומים ואת היתרונות של יצירת "מעקות בטיחות" ולא "שערים".
הוא גם עודד את הקהילה לחקור את מסגרת אימוץ הענן של AWS משנת 2016, המספקת הדרכה מקיפה שיכולה להועיל, ללא קשר לספק שירותי הענן הספציפי שבו אתה עשוי להשתמש.
הבנת עמודי התווך של אבטחת ענן
הפאנל התחיל בזיהוי שלושה עמודים בסיסיים לתוכנית אבטחת ענן יעילה. ראשית, לאבטחת נקודות קצה יש חשיבות עליונה, במיוחד בתעשיות הרגישות להתקפות תכופות, כמו מגזר המטבעות הקריפטוגרפיים.
שנית, הם הצביעו על מניעת אובדן נתונים (DLP). ככל שכוחות העבודה מתרחבים ופועלים מרחוק, דליפת נתונים הפכה לדאגה בולטת. הבטחת גישה למידע חיוני מבלי לפגוע באבטחה באמצעות מנגנונים כמו כניסה יחידה או אימות דו-גורמי היא חיונית.
העמוד האחרון נסב סביב היגיינת סייבר. ככל שארגונים גדלים, הקניית תרבות של נהלי אבטחת סייבר טובים הופכת הכרחית. הבטחת עובדים, ותיקים וחדשים כאחד מודע היטב לגבי איומים פוטנציאליים הוא חיוני.
מעבר לענן: מאיפה להתחיל?
כאשר שקלו את המעבר לענן, שאלת 'היכן להתחיל' טופלה על ידי אנאנד נירגודקאר ואיבי יאנג. אנאנד הדגיש את החשיבות של הבנה ודירוג נכסים לפני קבלת החלטות הגירה. הוא דגל בהערכה המבוססת על הסיכון וההשפעה העסקית הקשורים להגירה הפוטנציאלית של כל נכס.
בהדהוד לרגשות דומים, אייבי הבחין במשמעותם של יעדים עסקיים. החל בהעברת נכסים פחות קריטיים לבניית ניסיון, ולאחר מכן במעבר הדרגתי של עומסי עבודה קריטיים יותר, הומלץ, ובכך לטפח ביטחון וטיפח סביבת למידה מעשית.
הנחיות MAS Public Cloud: נקודות חשובות
אחת השאלות הדחופות ביותר הייתה קשורה לשינויים שהביאו הנחיות הענן הציבורי של MAS. אנאנד סיפק סיכום מפורש של המרכיבים המהותיים של ההנחיות.
הוא שיבח את MAS על החוזר המקיף שלה, המתעמק בהיבטים החל מהכנסת מודלים שונים של שירות, אחריות משותפת, ניהול זהויות וגישה, גישות אבטחת עומס עבודה ועקרונות אבטחה אפס אמון.
ההנחיות גם דוגלות בבדיקות מתמשכות, אבטחת מידע, ניהול מפתחות ועוד. דגש על גישת אבטחה מבוססת סיכונים מהווה את עמוד השדרה של החוזר כולו, המדגיש את החשיבות של גישה מאוזנת, פרגמטית לאבטחת ענן.
ענן כציווי עסקי
למרות שלא ניתן היה להתייחס לכל השאלות בגלל אילוצי זמן, התובנות המשותפות על ידי חברי הפאנל מציעות למידה שלא יסולא בפז. ה 'כיצד ההנחיות החדשות של MAS Public Cloud משפיעות עליך' הדגיש כיצד האימוץ והאבטחה של הענן אינם החלטות IT בלבד, אלא הם ציוויים עסקיים קריטיים בעידן הדיגיטלי של היום.
בעוד שההנחיות החדשות של MAS מציגות שכבה נוספת של מורכבות, הן גם פותחות עידן של אבטחה, שקיפות ואמון משופרים. כאשר ארגונים מנווטים בהנחיות אלו, גישה מקיפה, אסטרטגית ויזומה לאימוץ ואבטחה בענן אינה רק מומלצת, אלא חיונית.
צפו בסמינר המקוון לפי דרישה בקישור זה כדי לקבל תובנות.
Horangi ישתתף בפסטיבל הפינטק הקרוב של סינגפור שיתקיים בין ה-15 ל-17 בנובמבר. למידע נוסף על השתתפותם בדוכן כאן.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/
