数日前、XNUMX月の猛暑に涼しさのちらつきが忍び寄る中、非常に重要であるがやや挑発的な質問がプロのソーシャルメディアに再び登場しました。 「クラウドはどれくらい安全ですか?」
この疑問の主な理由は、会社の一部の研究者によって説明されたソフトウェアコンポーネントの脆弱性にありました ウィズ.
リスクと解決策を理解するために何が起こったのかを調査してみましょう。
Microsoftは、「Azure」の傘下にあるクラウドソリューションの一部として、と呼ばれるデータベースソリューションを提供しています。 コスモスDB. これはNoSQLデータベースであるため、SQLServerなどのリレーショナルデータベースとは構造とパフォーマンスが根本的に異なります。
中小企業がクラウドにNoSQLデータベースを採用するように促す利点は、基本的にXNUMXつです。大量の非構造化データの保存、数ミリ秒での応答速度、そして最後になりましたが、グローバルレベルでのスケーラビリティです。 これらの利点は、クラウドの力と相まって、成功の理由を説明しています コスモスDB.
2021年XNUMX月に会社は ウィズは、最近Microsoft Cloud SecurityGroupで同じ役割を果たしたAmiLuttwakが技術的に主導し、その研究チームがで使用されるソフトウェアコンポーネントの脆弱性を特定したことをMicrosoftに通知します。 コスモスDB チェ・シ・キアマ ジュピターノート.
これは、それ自体を定義するメインデータベースエンジンの小さなアウトラインアプリケーションです。 ドキュメント形式を開く.
実際には、これはデータを表現する方法であり、下の画像で簡略化されているように、物語のテキストから科学的な方程式、ソフトウェアコードからより複雑なデータまでを含むドキュメントを作成および共有できます。
これらのドキュメントは、データベースに保存してから、クエリ、並べ替え、抽出などを行うことができます。
ジュピターノート それは生まれていない コスモスDB、しかしプログラミング言語の一部として約XNUMX年前 Python 。 2015年にそれが来る バンドルされていない と呼ばれるスタンドアロンのオープンソースプロジェクトで Jupyterプロジェクト.
リスク、脆弱性を理解するために可能な限り簡単な言葉で言えば ジュピターノート、特別なもので悪用された場合 エクスプロイト 機会に合わせてコード化されているため、攻撃者はコンポーネントに問い合わせることができます ジュピターノート データベースの コスモスDB インターネットからアクセス可能、のユーザーのデータを表示、変更、削除するのに役立つ有効な資格情報を取得する コスモスDB.
物事がかなりうまくいくときはいつもそうであるように、研究者はそれを呼ぶことによってこの脆弱性に名前を付けました カオスDB の指示に従ってマイクロソフトに通知しました 責任ある開示.
レドモンド社は、すべてのインスタンスにデフォルトで存在していたこのソフトウェアオプションを無効にすることで、48時間以内に迅速に対応しました。 コスモスDB 使用法に関係なく、潜在的な侵害のリスクを修正するために構成を変更できるように、リスクについて顧客に警告しました。
私はこの議論を、実際のリスクを明確にするための一連のXNUMXつの質問で締めくくり、最後にこの主題についての私の考察を提供します。.
では、クラウドは安全ですか?
許可された人なら誰でも、地球上のどこからでも到達可能な実装もそうです。 安全性のレベルを高めるために(主な活動として何か他のことをする企業と比較して)、これらのサービスで利益の重要な部分を生み出し、建設と保全にあらゆる関心を持っている人々の絶え間ない継続的な注意があります。データの整合性と機密性に基づく信頼関係。
しかし、この脆弱性は、検出されるまで数か月間アクティブなままでしたか?
数十万の脆弱性のように、それらのいくつかは発見されるまで何年も休眠状態にあります。 マイクロソフトは、この脆弱性によるデータへの不正アクセスがないことも確認しています。 コンポーネントの脆弱性は必ずしもプラットフォームの脆弱性を意味するわけではないことも覚えておく必要があります。
どうすればクラウド攻撃から身を守ることができますか?
クラウド環境でアクティブ化されるインスタンスのさまざまな構成オプションの知識に加えて、デジタル環境で常に最大の可視性を持つように注意してください。 たとえば、Jupyter Notebookなどのソフトウェアコンポーネントが原因で脆弱ですが、CosmosDBデータベースは、インターネットを介して一般に公開されている場合にのみ危険にさらされます。 また、セキュリティ境界内から脆弱性を悪用する攻撃者に由来する内部リスクを忘れてはなりません。
この脆弱性のリスクをどのように軽減できますか?
に加えて Microsoftが提供するガイド、XNUMX日前、同じWizが、この点に関していくつかの興味深いガイドラインを公開しました。 このリンクで.
しかし、私のクラウドアカウントのセキュリティを確保するのはマイクロソフトの責任ではないでしょうか?
いいえ。むしろ、完全ではありません。 サービスとして提供されるソフトウェアとプラットフォームにバグや脆弱性がないようにすることは確かにマイクロソフトの仕事です。これは、サードパーティにクラウドサービスを提供するすべての人によって継続的に実行されるアクティビティです。 実際、この場合、この脆弱性は、サービスのセキュリティを強化することを目的としたMicrosoftとそのパートナー間の継続的な関係で発見されました。
また、私が話した責任分担の概念をユーザーが理解することも重要です。 別の記事で より詳細に、そしてここで例を挙げて要約します。実際に難攻不落の要塞にするために、最先端の最新の安全機能をすべて備えた家を借りるとします。 しかし、私たちはこの家のドアを開けるための鍵を与えられた人々です。 家を出るときに窓を半開きにするかどうかを決めるのは私たちです。 私たちはまた、あなたが知らないので、傘立ての下に粘着テープでそれらを貼り付けるために鍵の安全コピーを作ることに決めた人たちです。
各チェーンの強度はその最も弱いリンクに等しく、多くの場合、このリンクはそれが何であるかです 椅子をキーボードに結合します.
マルコ・ロッティニ
アニメーション: シモーネドミニ
深める:
Jupyterプロジェクト https://jupyter.org/
CosmosDBの概要 https://docs.microsoft.com/it-it/azure/cosmos-db/introduction
脆弱性に関するWizのレポート https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases
軽減する方法に関するWizガイドライン https://www.wiz.io/blog/protecting-your-environment-from-chaosdb
