Idén körülbelül a negyedik nagy felhőszolgáltatás kiesésével találkozhattunk novemberben - oximoron.
Biztosan nem mondok újdonságot: a felhős szolgáltatások legalább 2 évtizede velünk vannak. Eleinte nem tudtunk róluk, aztán tudtunk róluk, de még nem adtunk neki nevet, aztán nevet is adtunk neki. Mindemellett lassan, de biztosan elkezdtük észrevenni az előnyeit és a hátrányait is, a teljesség nélkül: nagyon jó, hogy fontos dokumentumokat feltehetünk oda, amiket aztán mindenféle olyan eszközről elérünk, amin van internet; majd rádöbbenünk, hogy bizony amit oda felraktunk, az már nem csak a miénk. DECENTRALIZÁLT lett a fontos információk elérése, ugyanakkor a különböző szoftver-gyártók egyre inkább szoftver-szolgáltatókká válnak, ami egyrészt az on-premise termékek fejlesztésének lelassuló, majd elkerülhetetlenül bekövetkező leállásával, valamint a szolgáltatók sokkal nagyobb kontrolljával jár az ügyfelek felett. A példákkal a Microsoft jár elöl: bizonyos szolgáltatásokat minden Azure/Entra ügyfeleknek bekapcsol és kikapcsolhatatlanná tesz, amiről az a meggyőződésük, hogy javítja a biztonságot. Ha fel is tesszük, hogy így van, bizonyos ügyfeleknek szolgáltatáskiesést is okozhat egy ilyen lépés.
Régi vesszőparipám, hogy az Agile fejlesztési metódus zsákutca és az arany középút valahol az Agile és a Waterfall között lehet. Hogy jön ide az Agile? Ez a fejlesztési metódus tette lehetővé, hogy naponta egy alkalmazásból akár százszor is lehessen buildelni - de nyilván nem csak erre jó, hanem konfigurációk eszetlenül gyors deploymentjére is a felhős szolgáltatások esetén.
A Crowdstrike, az AWS, az Azure és a Cloudflare az a négy eset idénről, amiről tudok, mint komoly kiesés a felhőben, vagy a felhőből. Nemigen követtem nyomon, mi okozta az Amazon és a Microsoft felhőszolgáltatásának kiesését, az azonban ismert mindenkinek, akit érdekel, hogy a Crowdstrike esetében is konfigurációs és validációs problémáról volt szó (elnézést mindenkitől, ez nem idei, hanem 2024-es kiesés volt), illetve a Cloudflare esetében is.
CENTRALIZÁLT a felhőszolgáltatások konfigurációja a szolgáltatói oldalon: elég egy hiba ezekben, valamint egy hiba a validációban és milliárdok égnek el, dollárban. Ironikus, hogy decentralizált szolgáltatások konfigurációja centralizált módon működik, tehát egy szolgáltatói figyelmetlenség csúnya veszteséget okozhat. Csak érzékeltetésképpen: a Crowdstrike outage több, mint 7 milliárd USD veszteséget hozott össze, a Cloudflare-é pedig - eddig - másfél milliárdot.
Szerintem erre több lehetőség van, egyik nyilvánvalóbb, mint a másik, én azonban a legjobbat egy rendhagyó megoldásban látom: lassítsunk! Nem látom okát, miért kellene a konfigurációs beállításokkal rohanni, szerintem egy tiered megoldással sokkal biztosabban lehetne elkerülni a hasonló incidenseket, hiszen a konfigurációs döntéseket csak egy helyen lehet meghozni, ami nyilvánvalóan potenciális hibázási pont. Az első frissitést javasolt megtenni egy kisebb, kézközelben lévő rendszercsoporton, így ha galiba van, nem esik ki a fél Internet és okoz milliárdos veszteségeket.
A konkrét technikai részletekre vágyóknak ajánlom Frész Ferenc írását a CyberThreat Report-on.
CoreSec,
2025.11.21.