中國網/中國發展門戶網訊 近期,關于Log4j2漏洞的動態,正持續成為網絡安全領域的重要話題。12月23日,由云安全聯盟大中華區主辦,雅客云安全協辦的《從Log4j2事件看云原生架構演進的挑戰和解決之道》線上技術會議舉辦。本次會議由前以色列Check Point中國區總經理陳欣主持、首個中國原創CNCF開源項目Harbor創始人張海寧、京東科技云安全架構師邱雁杰、雅客云安全的聯合創始人馮向輝三位嘉賓線上分享。
Log4j是Apache的一個開源項目,是基于Java的日志記錄框架。而Log4j2是log4j的后繼者,被大量用于業務系統開發,記錄日志信息。很多互聯網公司以及耳熟能詳的公司的系統都在使用該框架。本次產生的Log4j2漏洞,即是存在于這一基礎組件中的嚴重漏洞。
前以色列Check Point中國區總經理陳欣首先介紹CSA大中華區的定位以及在云安全及其他新興技術領域的影響,提到Log4j2漏洞影響之廣、殺傷力之重,引發了安全圈的震動,也觸動了對于云原生架構演進帶來的挑戰和應對方式的反思。
Harbor創始人張海寧在分享中談到漏洞帶來的安全問題確實是企業十分重視的話題,尤其是在很多應用向云原生平臺遷移的今天,安全漏洞問題值得關注、應對的機制和方法需要我們深度思索。同時,張海寧從安全漏洞的告警流程分析,提醒關注安全漏洞披露注意事項,除了反饋軟件的原開發者外,也需要根據相關法律法規規定向網絡安全相關主管單位第一時間匯報。
京東科技云安全架構師邱雁杰分享《從Log4j2漏洞看開源組件安全風險管理》,從Log4j2遠程代碼執行漏洞、開源組件的安全風險及針對這些風險的管理及切實可行方案三方面進行闡述。
邱雁杰分析了Log4j2的漏洞源頭,回顧漏洞修復的情況。Apche Log4項目維護中,項目研發人員的研發能力、代碼開發能力、功能實現能力都很強,但在安全問題的解決上面的知識或者能力存在一定的不足。從2009年到2020年,開源組件漏洞數是呈現持續走高的態勢,當企業或者說研發者要去使用開源組件時,安全風險管控勢在必行。
在開源組件安全風險管理上,邱雁杰分享了京東科技相關的工作和經驗。在針對開源安全組件進行風險管理時,需構建漏洞防御的系統,能夠在漏洞爆發時幫助我們去進行漏洞的防護,在漏洞爆發或發布上線前,研發人員需提前檢測到漏洞。除了防護以及到發布之前的部署,京東科技建立了指紋采集系統,幫助研發運維人員采集指紋信息,并且能夠根據京東內部的漏洞庫做指紋與漏洞的比對,在研發測試階段就能發現對應的漏洞并進行處置。
雅客云聯合創始人馮向輝進行了題為《重構云原生的安全體系》的分享,Log4j2漏洞只簡單的兩個步驟就引起整個IT界一片哀鴻,也觸動了我們的反思。在整個漏洞出來后廠家的解決方案主要有三類:左側掃描漏洞,右側攔截;左右都做,既掃描,也在運行時幫助做攔截。
馮向輝介紹,在云原生環境下,DevOps的流程快速動態的引入了一些未知的應用、庫、系統,導致攻擊面無限的放大;云原生環境中微服務產生了海量的東西向流量,這些流量沒有辦法被安全監管。同時在云原生的環境中,還有很多的安全產品沒有被云原生化,所以云原生環境中,網絡側基本在裸奔,網絡流量基本沒有任何防護。這樣條件下的云原生,基本是“把薪助火”。
他強調,在整個云原生的架構中,底層架構安全能力很重要,所有的微服務都承載在底層的平臺上,首先要保證底層平臺基礎設施的安全,比如容器安全,K8s編排系統安全,邊緣安全等能力。然后上面一層是業務層的安全能力,基本上指的是網絡側的能力。但是目前在整個云原生的環境中,網絡側的安全能力相對來講比較脆弱。在云原生環境下,微服務間會產生海量東西向流量。東西向流量一定需要對網絡安全的能力做充分安全監管。這種強需求會推動傳統的網絡安全能力逐漸走向云原生化,然而在整個云原生的環境中資產極度碎片化、工作負載極度動態,因而云原生的網絡安全能力必須要動態地保護這些動態變遷的資產,這種能力非常重要,這并不是簡單地把傳統安全產品塞到容器里就可以實現的。
他認為,引用Log4j的攻擊鏈來看,過去我們過分關注了安全產品的差異化,導致了數據的割裂性及防護體系的欠缺。在云原生安全體系中,我們更需要關注數據的聯通性,淡化個體安全產品的差異化。我們更需要關注安全產品是不是能夠采集關聯性數據,在底層把數據打通,讓數據成為安全運營的指揮官,對整個安全能力及安全策略做一個統一的編排管理,讓數據提供全局安全指導,實現軟件定義安全的終極目標,讓安全隨業務落地而落地,隨業務遷移而遷移。