Cada uma das grandes plataformas de nuvem tem sua própria metodologia para passar informações de segurança para plataformas de registro e segurança, deixando para os fornecedores encontrar maneiras proprietárias de traduzir isso em um formato que funcione para sua ferramenta. O Cloud Security Notification Framework (CSNF), um novo grupo de trabalho que inclui a Microsoft, o Google e a IBM, está tentando criar uma nova forma aberta e padrão de fornecer essas informações.
Nick Lippis, que é cofundador e co-presidente do ONUG, uma comunidade de nuvem corporativa aberta, que é o principal motivador do CSNF, diz que o que eles criaram é parte padrão e parte código aberto. “O que realmente focamos é como automatizamos a governança na nuvem. E então a segurança era o lugar que estava maduro para isso, onde podemos realmente fornecer algum valor imediatamente para a comunidade ”, disse ele.
A ideia é começar com alertas de segurança e encontrar uma maneira de construir um formato comum para dar às empresas o mesmo tipo de sistema que possuem no data center para rastrear alertas de segurança na nuvem. A forma como eles esperam fazer isso é com esse diálogo aberto entre os fornecedores de nuvem e as empresas envolvidas com o grupo.
“Então, a estrutura disso é que há um comitê diretor que é presidido por CISOs dessas grandes marcas de consumo de nuvem, e também os provedores de nuvem, e eles fornecem votação e direção. E então há o grupo de trabalho onde todo o trabalho é feito. A beleza do que fazemos é que agora temos consumidores e também fornecedores trabalhando juntos e colaborando ”, disse.
Mais envolvidos no projeto para segurança em nuvem aberta
Don Duet, um membro do ONUG, que é CEO e co-fundador do Concourse Labs, esteve envolvido na formação do CSNF. Ele diz que para manter o projeto focado, eles estão olhando para isso como um problema de gerenciamento de dados e estão estabelecendo um vocabulário comum para que todos trabalhem dentro do grupo.
“Como você constrói um consenso sobre quais são os tipos de termos com os quais todos podem concordar e, em seguida, constrói a base subjacente para que os especialistas em seus provedores de recursos, neste caso, Provedores de Serviços em Nuvem, possam abençoar como seus dados [conectam] a esses padrões comuns ”, explicou Duet.
Ele diz que esse problema específico é mais um problema organizacional do que técnico, reunindo as várias partes interessadas e apenas construindo um consenso em torno disso. Nesse ponto, eles já têm esse processo em vigor e a próxima etapa é prová-lo, fazendo com que as várias empresas envolvidas nesse teste sejam testadas nos próximos meses.
Depois que eles passarem da fase de teste, em outubro eles planejam realmente demonstrar como isso se parece em um cenário de antes e depois, com a nova estrutura e sem ela. À medida que o grupo trabalha em direção a essas metas, a esperança é que, eventualmente, a estrutura se torne mais estabelecida e outras empresas e fornecedores venham a bordo e tornem isso uma forma mais padrão de compartilhar alertas de segurança. Se tudo correr bem, eles esperam incluir outras informações de segurança nessa estrutura ao longo do tempo.
Via: TechCrunch