中國網/中國發展門戶網訊 近期,關於Log4j2漏洞的動態,正持續成為網路安全領域的重要話題。12月23日,由雲安全聯盟大中華區主辦,雅客雲安全協辦的《從Log4j2事件看雲原生架構演進的挑戰和解決之道》線上技術會議舉辦。本次會議由前以色列Check Point中國區總經理陳欣主持、首個中國原創CNCF開源項目Harbor創始人張海寧、京東科技雲安全架構師邱雁傑、雅客雲安全的聯合創始人馮向輝三位嘉賓線上分享。
Log4j是Apache的一個開源項目,是基於Java的日誌記錄框架。而Log4j2是log4j的後繼者,被大量用於業務系統開發,記錄日誌資訊。很多網際網路公司以及耳熟能詳的公司的系統都在使用該框架。本次産生的Log4j2漏洞,即是存在於這一基礎組件中的嚴重漏洞。
前以色列Check Point中國區總經理陳欣首先介紹CSA大中華區的定位以及在雲安全及其他新興技術領域的影響,提到Log4j2漏洞影響之廣、殺傷力之重,引發了安全圈的震動,也觸動了對於雲原生架構演進帶來的挑戰和應對方式的反思。
Harbor創始人張海寧在分享中談到漏洞帶來的安全問題確實是企業十分重視的話題,尤其是在很多應用向雲原生平臺遷移的今天,安全漏洞問題值得關注、應對的機制和方法需要我們深度思索。同時,張海寧從安全漏洞的告警流程分析,提醒關注安全漏洞披露注意事項,除了反饋軟體的原開發者外,也需要根據相關法律法規規定向網路安全相關主管單位第一時間彙報。
京東科技雲安全架構師邱雁傑分享《從Log4j2漏洞看開源組件安全風險管理》,從Log4j2遠端代碼執行漏洞、開源組件的安全風險及針對這些風險的管理及切實可行方案三方面進行闡述。
邱雁傑分析了Log4j2的漏洞源頭,回顧漏洞修復的情況。Apche Log4項目維護中,項目研發人員的研發能力、代碼開發能力、功能實現能力都很強,但在安全問題的解決上面的知識或者能力存在一定的不足。從2009年到2020年,開源組件漏洞數是呈現持續走高的態勢,當企業或者説研發者要去使用開源組件時,安全風險管控勢在必行。
在開源組件安全風險管理上,邱雁傑分享了京東科技相關的工作和經驗。在針對開源安全組件進行風險管理時,需構建漏洞防禦的系統,能夠在漏洞爆發時幫助我們去進行漏洞的防護,在漏洞爆發或發佈上線前,研發人員需提前檢測到漏洞。除了防護以及到發佈之前的部署,京東科技建立了指紋採集系統,幫助研發運維人員採集指紋資訊,並且能夠根據京東內部的漏洞庫做指紋與漏洞的比對,在研發測試階段就能發現對應的漏洞並進行處置。
雅客雲聯合創始人馮向輝進行了題為《重構雲原生的安全體系》的分享,Log4j2漏洞只簡單的兩個步驟就引起整個IT界一片哀鴻,也觸動了我們的反思。在整個漏洞出來後廠家的解決方案主要有三類:左側掃描漏洞,右側攔截;左右都做,既掃描,也在運作時幫助做攔截。
馮向輝介紹,在雲原生環境下,DevOps的流程快速動態的引入了一些未知的應用、庫、系統,導致攻擊面無限的放大;雲原生環境中微服務産生了海量的東西向流量,這些流量沒有辦法被安全監管。同時在雲原生的環境中,還有很多的安全産品沒有被雲原生化,所以雲原生環境中,網路側基本在裸奔,網路流量基本沒有任何防護。這樣條件下的雲原生,基本是“把薪助火”。
他強調,在整個雲原生的架構中,底層架構安全能力很重要,所有的微服務都承載在底層的平臺上,首先要保證底層平臺基礎設施的安全,比如容器安全,K8s編排系統安全,邊緣安全等能力。然後上面一層是業務層的安全能力,基本上指的是網路側的能力。但是目前在整個雲原生的環境中,網路側的安全能力相對來講比較脆弱。在雲原生環境下,微服務間會産生海量東西向流量。東西向流量一定需要對網路安全的能力做充分安全監管。這種強需求會推動傳統的網路安全能力逐漸走向雲原生化,然而在整個雲原生的環境中資産極度碎片化、工作負載極度動態,因而雲原生的網路安全能力必須要動態地保護這些動態變遷的資産,這種能力非常重要,這並不是簡單地把傳統安全産品塞到容器裏就可以實現的。
他認為,引用Log4j的攻擊鏈來看,過去我們過分關注了安全産品的差異化,導致了數據的割裂性及防護體系的欠缺。在雲原生安全體系中,我們更需要關注數據的聯通性,淡化個體安全産品的差異化。我們更需要關注安全産品是不是能夠採集關聯性數據,在底層把數據打通,讓數據成為安全運營的指揮官,對整個安全能力及安全策略做一個統一的編排管理,讓數據提供全局安全指導,實現軟體定義安全的終極目標,讓安全隨業務落地而落地,隨業務遷移而遷移。