Setiap platform cloud besar memiliki metodologinya sendiri untuk menyampaikan informasi keamanan ke platform logging dan keamanan, menyerahkannya kepada vendor untuk menemukan cara eksklusif untuk menerjemahkannya ke dalam format yang berfungsi untuk alat mereka. Cloud Security Notification Framework (CSNF), kelompok kerja baru yang mencakup Microsoft, Google, dan IBM sedang mencoba membuat cara baru yang terbuka dan standar untuk menyampaikan informasi ini.
Nick Lippis, co-founder dan co-chairman ONUG, komunitas cloud perusahaan terbuka, yang merupakan penggerak utama CSNF, mengatakan bahwa apa yang mereka buat adalah sebagian standar dan sebagian open source. “Apa yang benar-benar kami fokuskan adalah bagaimana kami mengotomatiskan tata kelola di cloud. Jadi keamanan adalah tempat yang matang untuk itu di mana kami benar-benar dapat memberikan nilai segera bagi masyarakat, ”katanya.
Meskipun mereka telah menarik beberapa vendor cloud besar, mereka juga memiliki perusahaan besar yang menggunakan layanan cloud seperti FedEx, Pfizer, dan Goldman Sachs. Yang hilang secara mencolok dari grup adalah AWS, pemain terbesar di pasar infrastruktur cloud sejauh ini. Tetapi Lippis mengatakan bahwa dia berharap, seiring dengan matangnya proyek, perusahaan lain termasuk AWS akan bergabung.
“Ada banyak program keamanan dan program industri yang beredar dan orang-orang meminta mereka untuk bergabung, sehingga beberapa perusahaan ingin menunggu untuk melihat seberapa baik ini berjalan. [before making a commitment to it],” kata Lippis. Harapannya adalah, seiring berjalannya waktu, Amazon akan datang dan bergabung dengan grup, tetapi sementara itu mereka bekerja untuk mencapai titik di mana setiap orang di komunitas akan merasa nyaman dengan apa yang mereka lakukan.
Idenya adalah memulai dengan peringatan keamanan dan menemukan cara untuk membangun format umum untuk memberi perusahaan jenis sistem yang sama dengan yang mereka miliki di pusat data untuk melacak peringatan keamanan di cloud. Cara yang mereka harapkan adalah dengan dialog terbuka antara vendor cloud dan perusahaan yang terlibat dalam grup.
“Jadi strukturnya adalah ada komite pengarah yang diketuai oleh CISO dari merek konsumen cloud besar ini, dan juga penyedia cloud, dan mereka memberikan suara dan arahan. Dan kemudian ada kelompok kerja di mana semua pekerjaan dilakukan. Keindahan dari apa yang kami lakukan adalah sekarang kami memiliki konsumen dan juga penyedia yang bekerja sama dan berkolaborasi, ”katanya.
Don Duet, anggota ONUG, yang merupakan CEO dan salah satu pendiri Concourse Labs, telah terlibat dalam pembentukan CSNF. Dia mengatakan untuk menjaga agar proyek tetap fokus, mereka melihat ini sebagai masalah manajemen data dan mereka membangun kosakata umum untuk semua orang untuk bekerja di dalam grup.
“Bagaimana Anda membangun konsensus tentang jenis ketentuan apa yang dapat disetujui semua orang dan kemudian Anda membangun dasar yang mendasarinya sehingga para ahli di penyedia sumber daya Anda dalam hal ini, Penyedia Layanan Cloud, dapat memberkati bagaimana data mereka [connects] dengan standar umum itu, ”jelas Duet.
Dia mengatakan bahwa masalah tertentu lebih merupakan masalah organisasi daripada masalah teknis, menyatukan berbagai pemangku kepentingan dan hanya membangun konsensus seputar hal ini. Pada titik ini, mereka memiliki proses itu dan langkah selanjutnya adalah membuktikannya dengan meminta berbagai perusahaan yang terlibat dalam pengujian ini dalam beberapa bulan mendatang.
Setelah mereka melewati fase pengujian, pada bulan Oktober mereka berencana untuk benar-benar mendemonstrasikan seperti apa skenario ini sebelum dan sesudah, dengan dan tanpa kerangka kerja baru. Saat grup bekerja menuju tujuan ini, harapannya adalah pada akhirnya kerangka kerja akan menjadi lebih mapan dan perusahaan serta vendor lain akan bergabung dan menjadikannya cara yang lebih standar untuk berbagi peringatan keamanan. Jika semuanya berjalan dengan baik, mereka berharap dapat memasukkan informasi keamanan lain ke dalam kerangka kerja ini dari waktu ke waktu.
