中国网/中国发展门户网讯 近期,关于Log4j2漏洞的动态,正持续成为网络安全领域的重要话题。12月23日,由云安全联盟大中华区主办,雅客云安全协办的《从Log4j2事件看云原生架构演进的挑战和解决之道》线上技术会议举办。本次会议由前以色列Check Point中国区总经理陈欣主持、首个中国原创CNCF开源项目Harbor创始人张海宁、京东科技云安全架构师邱雁杰、雅客云安全的联合创始人冯向辉三位嘉宾线上分享。
Log4j是Apache的一个开源项目,是基于Java的日志记录框架。而Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。本次产生的Log4j2漏洞,即是存在于这一基础组件中的严重漏洞。
前以色列Check Point中国区总经理陈欣首先介绍CSA大中华区的定位以及在云安全及其他新兴技术领域的影响,提到Log4j2漏洞影响之广、杀伤力之重,引发了安全圈的震动,也触动了对于云原生架构演进带来的挑战和应对方式的反思。
Harbor创始人张海宁在分享中谈到漏洞带来的安全问题确实是企业十分重视的话题,尤其是在很多应用向云原生平台迁移的今天,安全漏洞问题值得关注、应对的机制和方法需要我们深度思索。同时,张海宁从安全漏洞的告警流程分析,提醒关注安全漏洞披露注意事项,除了反馈软件的原开发者外,也需要根据相关法律法规规定向网络安全相关主管单位第一时间汇报。
京东科技云安全架构师邱雁杰分享《从Log4j2漏洞看开源组件安全风险管理》,从Log4j2远程代码执行漏洞、开源组件的安全风险及针对这些风险的管理及切实可行方案三方面进行阐述。
邱雁杰分析了Log4j2的漏洞源头,回顾漏洞修复的情况。Apche Log4项目维护中,项目研发人员的研发能力、代码开发能力、功能实现能力都很强,但在安全问题的解决上面的知识或者能力存在一定的不足。从2009年到2020年,开源组件漏洞数是呈现持续走高的态势,当企业或者说研发者要去使用开源组件时,安全风险管控势在必行。
在开源组件安全风险管理上,邱雁杰分享了京东科技相关的工作和经验。在针对开源安全组件进行风险管理时,需构建漏洞防御的系统,能够在漏洞爆发时帮助我们去进行漏洞的防护,在漏洞爆发或发布上线前,研发人员需提前检测到漏洞。除了防护以及到发布之前的部署,京东科技建立了指纹采集系统,帮助研发运维人员采集指纹信息,并且能够根据京东内部的漏洞库做指纹与漏洞的比对,在研发测试阶段就能发现对应的漏洞并进行处置。
雅客云联合创始人冯向辉进行了题为《重构云原生的安全体系》的分享,Log4j2漏洞只简单的两个步骤就引起整个IT界一片哀鸿,也触动了我们的反思。在整个漏洞出来后厂家的解决方案主要有三类:左侧扫描漏洞,右侧拦截;左右都做,既扫描,也在运行时帮助做拦截。
冯向辉介绍,在云原生环境下,DevOps的流程快速动态的引入了一些未知的应用、库、系统,导致攻击面无限的放大;云原生环境中微服务产生了海量的东西向流量,这些流量没有办法被安全监管。同时在云原生的环境中,还有很多的安全产品没有被云原生化,所以云原生环境中,网络侧基本在裸奔,网络流量基本没有任何防护。这样条件下的云原生,基本是“把薪助火”。
他强调,在整个云原生的架构中,底层架构安全能力很重要,所有的微服务都承载在底层的平台上,首先要保证底层平台基础设施的安全,比如容器安全,K8s编排系统安全,边缘安全等能力。然后上面一层是业务层的安全能力,基本上指的是网络侧的能力。但是目前在整个云原生的环境中,网络侧的安全能力相对来讲比较脆弱。在云原生环境下,微服务间会产生海量东西向流量。东西向流量一定需要对网络安全的能力做充分安全监管。这种强需求会推动传统的网络安全能力逐渐走向云原生化,然而在整个云原生的环境中资产极度碎片化、工作负载极度动态,因而云原生的网络安全能力必须要动态地保护这些动态变迁的资产,这种能力非常重要,这并不是简单地把传统安全产品塞到容器里就可以实现的。
他认为,引用Log4j的攻击链来看,过去我们过分关注了安全产品的差异化,导致了数据的割裂性及防护体系的欠缺。在云原生安全体系中,我们更需要关注数据的联通性,淡化个体安全产品的差异化。我们更需要关注安全产品是不是能够采集关联性数据,在底层把数据打通,让数据成为安全运营的指挥官,对整个安全能力及安全策略做一个统一的编排管理,让数据提供全局安全指导,实现软件定义安全的终极目标,让安全随业务落地而落地,随业务迁移而迁移。