Microservice sudah menjadi bagian dari kebanyakan sistem aplikasi yang dikembangkan saat ini. Dengan adanya microservice, memudahkan setiap pengembang dalam membangun sebuah aplikasi sehingga menjadi lebih sederhana dan fleksibel.
Sayangnya, dengan banyaknya penggunaan microservice saat ini, kerap kali terdapat celah di dalamnya yang digunakan oleh para hacker untuk menyusup ke suatu sistem aplikasi dan mengambil data yang ada pada basis data. Oleh karena itu, walaupun memiliki beberapa kelebihan dalam membangun sebuah sistem aplikasi berbasis microservice, para pengembang aplikasi juga perlu mempertimbangkan strategi keamanan microservice yang digunakan.
Terdapat dua contoh kasus insiden keamanan API yang terjadi pada tahun 2018, yang pertama terjadi pada web aplikasi penyedia layanan manajemen repositori Gitlab, yaitu adanya kerentanan pada Gitlab Event API yang dapat digunakan untuk mengekspos informasi rahasia pada project kode1. Yang kedua terjadi pada web aplikasi media sosial Facebook yaitu terdapat kerentanan pada API pengembang Facebook yang digunakan oleh hacker untuk dapat mengekspos jutaan penggunanya2.
Selain kasus-kasus tersebut, masih banyak lagi kasus terkait insiden keamanan API yang pernah terjadi di antaranya adalah API eksploit pada Twitter yang digunakan untuk mengekspos nomor telepon pengguna3, kerentanan pada API sign-in milik Apple yang memungkinkan pengguna untuk login sebagai orang lain4, kerentanan API pada VMware yang dapat mengambil alih akun admin5, dan masih banyak lagi. Dengan maraknya kasus insiden keamanan API tersebut, maka BSSN berinisiatif menerbitkan pedoman dalam mengembangkan aplikasi berbasis microservice dan API yang aman. Besar harapan kami semoga pedoman ini dapat digunakan sebagai rujukan oleh para pengembang dan pimpinan pada bagian Teknologi Informasi di perusahaan swasta maupun pemerintahan.
Pedoman Keamanan Microservice dan API dapat diunduh melalui link di bawah ini.
Pedoman Keamanan Microservice dan API
Sumber: https://bssn.go.id/pedoman-keamanan-microservice-dan-api/