https://thedotnetblog.com/id/tags/sql-server-2025/Articles, tutorials and insights from the .NET community.Hugoid@thedotnetblog (The .NET Blog)@thedotnetblogThu, 04 Jun 2026 00:00:00 +0000https://thedotnetblog.com/id/news/emiliano-montesdeoca/sql-server-maestro-agentic-ai-security-defense-in-depth/Thu, 04 Jun 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/id/news/emiliano-montesdeoca/sql-server-maestro-agentic-ai-security-defense-in-depth/AI agentik memperkenalkan ancaman yang tidak dirancang oleh model STRIDE tradisional. Begini cara Microsoft SQL memetakan ke framework MAESTRO untuk menyediakan batas eksekusi yang dikelola.<p>Model ancaman keamanan dibangun di atas asumsi tentang siapa atau apa yang membuat permintaan. STRIDE mengasumsikan aktor manusia yang berinteraksi dengan sistem melalui antarmuka yang ditentukan. Agen AI tidak bekerja dengan cara itu.</p> <h2 id="stride-tidak-dirancang-untuk-agen-ai">STRIDE Tidak Dirancang untuk Agen AI</h2> <p>Sistem agentik beroperasi secara otonom, menghubungkan alat melalui panggilan API, membuat keputusan tentang data apa yang akan diambil dan tindakan apa yang akan dieksekusi, dan dapat menerima instruksi dari berbagai sumber — prompt pengguna, hasil alat, data yang diambil. Model ancaman STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) tidak secara memadai menangkap vektor serangan spesifik agen seperti injeksi prompt, keracunan konteks, atau penyalahgunaan alat.</p> <p>Cloud Security Alliance menerbitkan framework MAESTRO khusus untuk risiko agen AI.</p> <h2 id="framework-maestro">Framework MAESTRO</h2> <p>MAESTRO mengorganisir risiko AI agentik dalam tujuh lapisan:</p> <ol> <li><strong>Foundation Models</strong> — LLM yang mendasari dan kerentanan pelatihannya</li> <li><strong>Data Operations</strong> — pengambilan, penyimpanan, dan manipulasi data</li> <li><strong>Agent Frameworks</strong> — middleware orkestrasi dan koordinasi agen</li> <li><strong>Deployment &amp; Infrastructure</strong> — di mana agen dijalankan dan cara dikonfigurasi</li> <li><strong>Evaluation &amp; Observability</strong> — pemantauan perilaku agen dari waktu ke waktu</li> <li><strong>Security &amp; Compliance</strong> — kontrol akses, audit, dan kepatuhan regulasi</li> <li><strong>Agent Ecosystem</strong> — cara agen berinteraksi satu sama lain dan dengan alat eksternal</li> </ol> <p>Setiap lapisan memiliki vektor serangan spesifik yang tidak langsung ditangani oleh kontrol keamanan tradisional.</p> <h2 id="microsoft-sql-sebagai-batas-eksekusi-yang-dikelola">Microsoft SQL sebagai Batas Eksekusi yang Dikelola</h2> <p>SQL Server 2025 memetakan ke lapisan MAESTRO dengan cara yang konkret:</p> <p><strong>Lapisan Data Operations</strong>: <code>AI_GENERATE_EMBEDDINGS</code> yang terintegrasi di T-SQL menjaga operasi vektor dalam batas yang dikelola dari database. Data tidak perlu keluar ke layanan model untuk pemrosesan embedding.</p> <p><strong>Lapisan Security &amp; Compliance</strong>: Keamanan tingkat baris (RLS) dan penyamaran data dinamis (DDM) berlaku terlepas dari bagaimana permintaan tiba — baik dari pengguna manusia maupun agen AI. Agen tidak dapat melewati kontrol yang diterapkan oleh database itu sendiri.</p> <p><strong>Lapisan Agent Frameworks</strong>: Prosedur tersimpan berfungsi sebagai batas alat. Alih-alih memberikan agen akses SQL sembarangan, Anda mendefinisikan operasi yang diizinkan sebagai prosedur dan mengeksposnya sebagai alat agen. Kueri terparameter mencegah injeksi pada tingkat eksekusi.</p> <p><strong>Lapisan Evaluation &amp; Observability</strong>: Log audit dan Query Store menangkap apa yang sebenarnya dieksekusi setiap agen — bukan hanya apa yang diminta untuk dilakukan. Keterlacakan ini sangat penting untuk investigasi insiden dalam sistem agentik di mana atribusi kompleks.</p> <h2 id="pertahanan-berlapis-untuk-ai-agentik">Pertahanan Berlapis untuk AI Agentik</h2> <p>Prinsipnya tetap sama seperti keamanan tradisional: tidak ada kontrol tunggal yang cukup. Yang berubah adalah kontrol mana yang paling penting untuk agen:</p> <p><strong>Mengurangi radius ledakan</strong>: batas alat melalui prosedur tersimpan berarti agen yang dikompromikan hanya dapat mengeksekusi operasi yang telah ditentukan sebelumnya. Ia tidak dapat beralih ke kueri sembarangan.</p> <p><strong>Observabilitas</strong>: Anda harus mampu menjawab &ldquo;apa yang sebenarnya dilakukan agen ini?&rdquo; setelah insiden. Sistem AI agentik tanpa keterlacakan tingkat database memiliki titik buta yang tidak dicakup oleh pencatatan aplikasi.</p> <p><strong>Eksekusi terbatas</strong>: parameterisasi, RLS, dan DDM adalah aset keamanan terlepas dari apakah pemanggil manusia atau bukan. Jangan melemahkannya untuk mengakomodasi agen.</p> <p><strong>Akuntabilitas</strong>: log audit SQL Server membuat catatan tentang siapa (agen mana, menggunakan kredensial apa) yang mengeksekusi apa pada waktu tertentu. Ini penting ketika sistem agentik mengambil tindakan dengan konsekuensi nyata di dunia.</p> <p>SQL Server 2025 tidak dibangun untuk menyelesaikan risiko agentik secara abstrak — ia dibangun untuk menjadi database relasional. Namun tata kelola yang membuat database enterprise dapat dipercaya ternyata adalah persis apa yang membuat batas eksekusi agen aman.</p> <p>Pos asli: <a href="https://devblogs.microsoft.com/azure-sql/microsoft-sql-security-across-the-maestro-stack-building-secure-agentic-ai-with-defense-in-depth/">Microsoft SQL Security Across the MAESTRO Stack</a></p>