Cada una de las grandes plataformas en la nube tiene su propia metodología para transmitir información de seguridad a las plataformas de registro y seguridad, dejando que los proveedores encuentren formas patentadas de traducir eso en un formato que funcione para su herramienta. Cloud Security Notification Framework (CSNF), un nuevo grupo de trabajo que incluye a Microsoft, Google e IBM, está tratando de crear una nueva forma abierta y estándar de entregar esta información.
Nick Lippis, cofundador y copresidente de ONUG, una comunidad de nube empresarial abierta, que es el principal impulsor de CSNF, dice que lo que han creado es en parte estándar y en parte de código abierto. “En lo que nos hemos centrado realmente es en cómo automatizamos la gobernanza en la nube. Entonces, la seguridad era el lugar ideal para eso, donde realmente podemos brindar algo de valor de inmediato a la comunidad ”, dijo.
Si bien han atraído a algunos de los grandes proveedores de la nube, también tienen grandes empresas que consumen servicios en la nube como FedEx, Pfizer y Goldman Sachs. Llama la atención que falta en el grupo AWS, el actor más importante en el mercado de la infraestructura en la nube con diferencia. Pero Lippis dice que espera que a medida que el proyecto madure, se unan otras empresas, incluida AWS.
“Hay muchos programas de seguridad y programas de la industria que se publican y a los que la gente les pide que se unan, por lo que algunas empresas quieren esperar para ver qué tan bien se resuelve esto. [before making a commitment to it]”, Dijo Lippis. Su esperanza es que, con el tiempo, Amazon venga y se una al grupo, pero mientras tanto están trabajando para llegar al punto en que todos en la comunidad se sientan bien con lo que están haciendo.
La idea es comenzar con alertas de seguridad y encontrar una manera de crear un formato común para brindar a las empresas el mismo tipo de sistema que tienen en el centro de datos para rastrear las alertas de seguridad en la nube. La forma en que esperan hacerlo es con este diálogo abierto entre los proveedores de la nube y las empresas involucradas con el grupo.
“Entonces, la estructura de eso es que hay un comité directivo que está presidido por los CISO de estas grandes marcas de consumidores en la nube, y también por los proveedores de la nube, que brindan votación y dirección. Y luego está el grupo de trabajo donde se hace todo el trabajo. La belleza de lo que hacemos es que ahora tenemos consumidores y también proveedores trabajando juntos y colaborando ”, dijo.
Don Duet, miembro de ONUG, director ejecutivo y cofundador de Concourse Labs, participó en la formación del CSNF. Él dice que para mantener el proyecto enfocado, lo ven como un problema de gestión de datos y están estableciendo un vocabulario común para que todos trabajen dentro del grupo.
“¿Cómo se logra un consenso sobre los tipos de términos en los que todos pueden estar de acuerdo y luego se construye la base subyacente para que los expertos en sus proveedores de recursos en este caso, los proveedores de servicios en la nube, puedan bendecir cómo sus datos? [connects] a esos estándares comunes ”, explicó Duet.
Dice que un problema en particular es más un problema organizativo que técnico, que reúne a las diversas partes interesadas y simplemente crea consenso en torno a esto. En este punto, tienen ese proceso en marcha y el siguiente paso es probarlo haciendo que las distintas empresas involucradas en este proceso lo prueben en los próximos meses.
Después de pasar la fase de prueba, en octubre planean demostrar realmente cómo se ve esto en un escenario de antes y después, con el nuevo marco y sin él. A medida que el grupo trabaja hacia estos objetivos, la esperanza es que eventualmente el marco se establezca más y otras compañías y proveedores se sumen y hagan de esta una forma más estándar de compartir alertas de seguridad. Si todo va bien, esperan incorporar otra información de seguridad en este marco con el tiempo.
Source link