Несколько дней назад, когда в августовскую жару закрались проблески прохлады, в профессиональных социальных сетях снова появился очень важный, но несколько провокационный вопрос: «Насколько безопасно облако?»
Основная причина этого сомнения заключалась в уязвимости программного компонента, описанного некоторыми исследователями компании. волшебник.
Попробуем разобраться в том, что произошло, чтобы понять риски и решения.
Microsoft, как часть облачных решений, которые входят в состав «Azure», предлагает решение для баз данных под названием КосмосДБ. Это база данных NoSQL, поэтому она радикально отличается по структуре и производительности от реляционной базы данных, такой как SQLServer.
Преимущества, которые подталкивают малые и крупные компании к внедрению базы данных NoSQL в облаке, по сути три: хранение больших объемов неструктурированных данных, скорость ответа в несколько миллисекунд и, что не менее важно, масштабируемость на глобальном уровне. Эти преимущества в сочетании с мощностью облака объясняют причины успеха КосмосДБ.
В августе 2021 года компания волшебник, технически возглавляемая Ами Латтвак, которая недавно занимала ту же должность в Microsoft Cloud Security Group, сообщает Microsoft, что ее исследовательская группа выявила уязвимость в программном компоненте, используемом с КосмосДБ это называется Jupyter Notebook.
Это небольшое схематичное приложение основного движка базы данных, которое определяет себя Формат открытого документа.
На практике это способ представления данных, который позволяет создавать и обмениваться документами, которые содержат от повествовательного текста до научных уравнений, от программного кода до более сложных данных, как показано на изображении ниже.
Эти документы затем могут быть сохранены в базе данных, затем запрошены, отсортированы, извлечены и т. Д.
Jupyter Notebook это не рождается с КосмосДБ, но лет десять назад как часть языка программирования Питон. В 2015 году приходит разделенный в автономном проекте с открытым исходным кодом, который называется Юпитер Проект.
Проще говоря, чтобы понять риск, уязвимость Jupyter Notebook, если эксплуатируется со специальным эксплуатировать закодированный для этого случая, он позволяет злоумышленнику опросить компонент Jupyter Notebook базы данных КосмосДБ доступный из Интернета, получение действительных учетных данных, полезных для просмотра, изменения и удаления данных в пользователе КосмосДБ.
Как всегда бывает, когда дела идут хорошо, исследователи дали этой уязвимости имя, назвав ее ХаосДБ и проинформировал Microsoft в соответствии с требованиями Ответственный.
Компания из Редмонда незамедлительно отреагировала менее чем за 48 часов, отключив эту программную опцию, которая по умолчанию присутствовала во всех случаях. КосмосДБ независимо от использования и предупреждал клиентов о риске, чтобы они могли изменить конфигурации, чтобы устранить риск потенциальной компрометации.
Я завершаю это обсуждение серией из пяти вопросов, чтобы прояснить реальный риск, и, наконец, предлагаю свое размышление по этому поводу..
Так безопасно ли облако?
Как и любая реализация, доступная любому авторизованному лицу из любой точки планеты. Для повышения уровня безопасности - по сравнению с компаниями, которые в качестве основного вида деятельности делают что-то еще - существует постоянное и постоянное внимание тех, кто получает значительную часть своей прибыли от этих услуг и имеет полный интерес к строительству и консервации. • доверительные отношения, основанные на целостности данных, а также их конфиденциальности.
Но оставалась ли эта уязвимость активной в течение нескольких месяцев до того, как была обнаружена?
Как сотни тысяч уязвимостей, некоторые из которых остаются бездействующими в течение многих лет, пока не будут обнаружены. Microsoft также подтвердила отсутствие незаконного доступа к данным из-за этой уязвимости. Также следует помнить, что уязвимость компонентов не обязательно означает уязвимость платформы.
Как я могу защитить себя от облачных атак?
Забота о том, чтобы всегда иметь максимальную видимость вашей цифровой среды, в дополнение к знанию различных вариантов конфигурации экземпляров, которые активируются в облачных средах. Например, хотя база данных CosmosDB уязвима из-за программного компонента, такого как Jupyter Notebook, она становится уязвимой только в том случае, если она становится общедоступной через Интернет. И мы не должны забывать о внутреннем риске, исходящем от злоумышленников, использующих уязвимости внутри периметра безопасности.
Как я могу снизить риск этой уязвимости?
В дополнение к руководство предоставлено Microsoft, два дня назад тот же Wiz опубликовал несколько интересных руководств по этому поводу, с которыми можно ознакомиться по этой ссылке.
Но разве Microsoft не несет ответственности за обеспечение безопасности моей облачной учетной записи?
Нет. Вернее, не полностью. Безусловно, задача Microsoft состоит в том, чтобы гарантировать, что программное обеспечение и платформы, предлагаемые в качестве услуги, по возможности свободны от ошибок и уязвимостей. Эта деятельность постоянно выполняется любым лицом, предлагающим облачные услуги третьим сторонам. Фактически, в данном случае уязвимость была обнаружена в постоянных отношениях между Microsoft и ее партнерами, направленных на повышение безопасности сервисов.
Также важно, чтобы пользователи понимали концепцию совместной ответственности, о которой я говорил. в другой статье более подробно, и это я резюмирую здесь на примере: предположим, мы арендуем дом, оборудованный всеми самыми передовыми и обновленными функциями безопасности, чтобы сделать его действительно практически неприступной крепостью. Однако именно нам дают ключи, чтобы открыть дверь этого дома. это мы решаем, оставлять ли окна приоткрытыми, выходя из дома; мы также те, кто решает сделать резервную копию ключей, чтобы приклеить их под подставку для зонтов с помощью клейкой ленты, потому что вы никогда не знаете.
Сила каждой цепи равна ее самому слабому звену, и часто это звено то, чем оно является. присоединяет стул к клавиатуре.
Марко Роттинги
Мультфильм: Симоне Домини
Для углубления:
Проект Jupyter https://jupyter.org/
Введение в CosmosDB https://docs.microsoft.com/it-it/azure/cosmos-db/introduction
Отчет Wiz об уязвимости https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases
Рекомендации Wiz о том, как уменьшить https://www.wiz.io/blog/protecting-your-environment-from-chaosdb
