尽管许多行业的组织已经加速了云环境的使用，但金融机构一直不愿意将其服务迁移到云中。核心事务处理和其他关键型任务仍在旧版的本地系统上运行。然而，疫情给传统商业模式和客户互动带来的变化已成为银行和其他金融机构更快采用公共云平台的推动因素。

数据保护成功迁移到云端图

云的优势和风险

云计算的利弊并不是银行独有的

• 更好的敏捷性、可扩展性和弹性。

• 金融公司能够部署更高效的流程或数据集中型应用程序。

• 为消费者提供更快的交易处理时间，或更快、更量身定制的客户服务选项。

      尽管有这些好处，但云也带来了传统系统中不存在的网络安全风险。例如，许多公有云安全事件（例如数据泄露）是由用户端的管理不善引起的（例如，对访问服务提供商的云的控制不善）。与传统基础设施(如本地数据中心)相比，云的安全性更为复杂，需要金融机构主动采取行动并并具有基于安全的设计思想。

新加坡金融管理局提供云安全公告

      为了应对这些挑战，新加坡金融管理局(MAS)发布了一项公告，为新加坡的金融机构提供关于管理和减轻采用公有云的网络安全风险的合理建议。该公告强调了金融机构应考虑的事项如下:

• 在计划采用公有云时执行全面的风险评估，并相应地对识别到的风险进行管理。

• 考虑到公有云服务的独特特征，制定公有云风险管理策略。

• 在身份和访问管理(IAM)、数据保护和加密密钥管理等领域实施强大的网络安全控制。

• 确保员工有足够的能力来管理公有云工作负载和风险。

身份及访问管理

      IAM (Identity and Access Management)是有效的云安全风险管理的基石。MAS云报告在第10项中指出，金融机构在授予对公有云中的信息资产访问权限时，应严格执行“最小特权”原则。IAM策略应该关注以下几个方面:

• 实施多因素认证(MFA)。

• 定期更改公有云中用于身份验证的凭据，如“访问密钥”。

• 集中管理用于访问多个公有云服务的 IAM 策略，确保策略执行一致。

数据保护

      MAS云公告求金融机构实施合适的数据安全措施，以保护公有云中敏感数据的机密性和完整性，并在适用时考虑静止数据和动态数据。

• 对于静态数据，除了平台级别提供的加密之外，金融机构还应进行令牌化。

• 对于动态数据，除了平台级别提供的加密之外，还建议金融机构实施会话加密。

      除了数据加密提供的保护外，金融机构还应采用加密密钥管理策略，以实现对其加密密钥可靠且一致的控制和保护，并避免这些密钥的泄露。该公告建议了两种选项：

• 自带密钥 （BYOK） 以保留对加密密钥的控制和管理，这些密钥将上传到云中以执行数据加密。

• 自带加密 （BYOE），即数据在进入云之前已加密，并且密钥不会传输到云。

      云安全的共享责任模式让机构可以自由选择他们偏好的安全控制，这些控制措施与其基础架构集成，并以最有效的方式解决他们的业务需求。选择中立的云安全解决方案对金融机构有很多好处，比如可以把控自己的合规性制度和自己的云安全态势。

Thales可以提供的方案

      管理云安全风险需要量身定制的解决方案。Thales的业界领先产品使企业能够集中管理和安全访问应用程序，并保护和保持对其数据的控制 - 无论数据是否在云环境中

• SafeNet Trusted Access,Thales基于云的访问管理和身份验证服务，支持多种身份验证方法，并允许您利用已经部署在您的组织中的身份验证方案。

• CipherTrust Transparent Encryption (CTE)为具有外部密钥管理的云实例或本地服务器提供文件系统加密。

• High Speed Network Encryption(HSE)解决方案可以保护从企业本地基础设施转移到云环境的任何类型的数据。

• CipherTrust Cloud Key Manager(CCKM)使组织能够实现BYOK策略，并保留对上传到云端执行数据加密的加密密钥的控制和管理。

• CipherTrust Transparent Encryption (CTE)是一种BYOE解决方案，在文件传输到云环境之前对其进行加密。