Beberapa hari yang lalu, ketika secercah kesejukan merayap ke gelombang panas Agustus, sebuah pertanyaan yang sangat penting tetapi agak provokatif muncul lagi di media sosial profesional: "Seberapa aman cloud itu?"
Alasan utama keraguan ini terletak pada kerentanan komponen perangkat lunak yang dijelaskan oleh beberapa peneliti perusahaan Ahli.
Mari kita coba selidiki apa yang terjadi untuk memahami risiko dan solusinya.
Microsoft, sebagai bagian dari solusi cloud yang berada di bawah payung "Azure", menawarkan solusi database yang disebut CosmosDB. Ini adalah database NoSQL, oleh karena itu sangat berbeda dalam struktur dan kinerja dibandingkan dengan database relasional seperti SQLServer.
Keuntungan yang mendorong perusahaan kecil dan besar untuk mengadopsi database NoSQL di cloud pada dasarnya adalah tiga: menyimpan data tidak terstruktur dalam jumlah besar, kecepatan respons dalam beberapa milidetik, dan, yang tak kalah pentingnya, skalabilitas di tingkat global. Keunggulan ini, dikombinasikan dengan kekuatan cloud, menjelaskan alasan keberhasilan CosmosDB.
Pada Agustus 2021 perusahaan Ahli, yang secara teknis dipimpin oleh Ami Luttwak yang baru-baru ini memegang peran yang sama di Microsoft Cloud Security Group, memberi tahu Microsoft bahwa tim penelitinya telah mengidentifikasi kerentanan dalam komponen perangkat lunak yang digunakan dengan CosmosDB itu yang dipanggil Notebook Jupyter.
Ini adalah aplikasi garis besar kecil dari mesin database utama, yang mendefinisikan dirinya sendiri Buka Format Dokumen.
Dalam praktiknya, ini adalah cara merepresentasikan data yang memungkinkan Anda membuat dan berbagi dokumen yang berisi dari teks naratif hingga persamaan ilmiah, dari kode perangkat lunak hingga data yang lebih kompleks seperti yang disederhanakan pada gambar di bawah ini.
Dokumen-dokumen ini kemudian dapat disimpan dalam database, kemudian ditanyakan, diurutkan, diekstraksi, dan sebagainya.
Notebook Jupyter itu tidak dilahirkan dengan CosmosDB, tetapi sekitar sepuluh tahun yang lalu sebagai bagian dari bahasa pemrograman Ular sanca. Tahun 2015 datang tidak terikat dalam proyek opensource mandiri yang disebut dengan tepat Proyek Jupyter.
Masukkan istilah yang paling sederhana untuk memahami risiko, kerentanan dari Notebook Jupyter, jika dieksploitasi dengan spesial mengeksploitasi dikodekan untuk acara tersebut, memungkinkan penyerang untuk menginterogasi komponen Notebook Jupyter dari sebuah database CosmosDB dapat dijangkau dari Internet, memperoleh kredensial valid yang berguna untuk melihat, mengubah, dan menghapus data di pengguna CosmosDB.
Seperti biasa terjadi ketika keadaan menjadi cukup baik, para peneliti memberi nama kerentanan ini dengan menyebutnya KekacauanDB dan memberi tahu Microsoft sesuai dengan perintah dari Pengungkapan yang Bertanggung Jawab.
Perusahaan Redmond segera bereaksi dalam waktu kurang dari 48 jam dengan menonaktifkan opsi perangkat lunak ini yang hadir secara default pada semua kasus CosmosDB terlepas dari penggunaan dan memperingatkan pelanggan tentang risiko sehingga mereka dapat memodifikasi konfigurasi untuk memperbaiki risiko potensi kompromi.
Saya menyimpulkan diskusi ini dengan serangkaian lima pertanyaan untuk mengklarifikasi risiko yang sebenarnya, yang terakhir menawarkan refleksi saya tentang masalah ini.
Jadi apakah cloud aman?
Seperti halnya implementasi apa pun yang dapat dijangkau oleh siapa saja yang berwenang dan dari mana saja di planet ini. Untuk meningkatkan tingkat keselamatan - dibandingkan dengan perusahaan yang, sebagai kegiatan utama mereka, melakukan sesuatu yang lain - ada perhatian terus-menerus dan terus menerus dari mereka yang menghasilkan bagian penting dari keuntungan mereka pada layanan ini dan memiliki setiap kepentingan dalam konstruksi dan konservasi hubungan kepercayaan berdasarkan integritas data, serta kerahasiaannya.
Tetapi apakah kerentanan ini tetap aktif selama berbulan-bulan sebelum terdeteksi?
Seperti ratusan ribu kerentanan, beberapa di antaranya tetap tidak aktif selama bertahun-tahun sampai ditemukan. Microsoft juga telah mengkonfirmasi bahwa tidak ada akses ilegal ke data karena kerentanan ini. Juga harus diingat bahwa kerentanan komponen tidak selalu berarti kerentanan platform.
Bagaimana saya bisa melindungi diri dari serangan cloud?
Berhati-hati untuk selalu memiliki visibilitas maksimum di lingkungan digital Anda, selain pengetahuan tentang berbagai opsi konfigurasi instans yang diaktifkan di lingkungan cloud. Misalnya, meskipun rentan karena komponen perangkat lunak seperti Jupyter Notebook, basis data CosmosDB hanya dapat dikompromikan jika terkena jangkauan publik melalui internet. Dan kita tidak boleh melupakan risiko internal, yang berasal dari penyerang yang mengeksploitasi kerentanan dari dalam batas keamanan.
Bagaimana saya bisa mengurangi risiko kerentanan ini?
Di samping panduan yang disediakan oleh Microsoft, dua hari yang lalu Wiz yang sama menerbitkan beberapa pedoman menarik tentang masalah ini, yang dapat dikonsultasikan di link ini.
Tetapi bukankah seharusnya Microsoft bertanggung jawab untuk memastikan keamanan akun cloud saya?
Tidak. Atau lebih tepatnya, tidak sepenuhnya. Sudah tentu tugas Microsoft untuk memastikan bahwa perangkat lunak dan platform yang ditawarkan sebagai layanan tetap sebebas mungkin dari bug dan kerentanan, aktivitas yang terus dilakukan oleh siapa pun yang menawarkan layanan cloud kepada pihak ketiga. Faktanya, dalam hal ini kerentanan ditemukan dalam hubungan berkelanjutan antara Microsoft dan mitranya yang bertujuan untuk meningkatkan keamanan layanan.
Penting juga bagi pengguna untuk memahami konsep tanggung jawab bersama, yang telah saya bicarakan di artikel lain lebih detail dan yang saya rangkum di sini dengan sebuah contoh: mari kita asumsikan kita menyewa rumah yang dilengkapi dengan semua fitur keamanan paling canggih dan terbaru, untuk menjadikannya benar-benar benteng yang praktis tidak dapat ditembus. Namun, kita adalah orang yang diberi kunci untuk membuka pintu rumah ini. kitalah yang memutuskan apakah ketika kita meninggalkan rumah kita membiarkan jendela terbuka; kami juga yang memutuskan untuk membuat salinan keamanan kunci untuk menempelkannya di bawah payung berdiri dengan pita perekat karena Anda tidak pernah tahu.
Kekuatan setiap rantai sama dengan mata rantai terlemahnya dan seringkali mata rantai ini adalah apa adanya menggabungkan kursi ke keyboard.
Marco Rottigni
Kartun: Simone Domini
Untuk memperdalam:
Proyek Jupyter https://jupyter.org/
Pengantar CosmosDB https://docs.microsoft.com/it-it/azure/cosmos-db/introduction
Laporan Wiz tentang kerentanan https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases
Panduan Wiz tentang cara mengurangi https://www.wiz.io/blog/protecting-your-environment-from-chaosdb
