CSA大咖談|Log4j2事件看云原生架構(gòu)演進(jìn)的安全挑戰(zhàn)和解決之道

12月23日下午,由云安全聯(lián)盟大中華區(qū)主辦,雅客云安全協(xié)辦的《從Log4j2事件看云原生架構(gòu)演進(jìn)的挑戰(zhàn)和解決之道》線上技術(shù)論壇順利舉行。本次會議由前以色列Check Point中國區(qū)總經(jīng)理陳欣先生主持、首個中國原創(chuàng)CNCF開源項目Harbor創(chuàng)始人張海寧、京東科技云安全架構(gòu)師邱雁杰、雅客云安全的聯(lián)合創(chuàng)始人馮向輝三位嘉賓線上分享。

陳欣首先介紹CSA大中華區(qū)在云安全領(lǐng)域的影響及聯(lián)盟的定位。Log4j2漏洞影響之廣、殺傷力之重,引發(fā)了安全圈的震動,也觸動了我們對于云原生架構(gòu)演進(jìn)帶來的挑戰(zhàn)和應(yīng)對方式的反思。

Harbor創(chuàng)始人張海寧在分享中談到漏洞帶來的安全問題確實是企業(yè)十分重視的話題,尤其是在很多應(yīng)用向云原生平臺遷移的今天,安全漏洞問題值得我們關(guān)注、應(yīng)對的機(jī)制和方法需要我們深度思索。

Log4j2漏洞CVE編號2021-44228,被業(yè)界稱為“核彈級”漏洞,爆發(fā)后,Harbor社區(qū)也十分關(guān)注,但是由于Harbor是用Go編程語言開發(fā),不受這個漏洞的影響。另一方面,Harbor內(nèi)置了云原生鏡像掃描功能,可以發(fā)現(xiàn)鏡像中存在的漏洞。因為Log4j2漏洞影響面非常大,建議使用Harbor的用戶及時更新CVE的漏洞庫,以便發(fā)現(xiàn)鏡像中的Log4j2漏洞并采取相應(yīng)的措施。目前Harbor內(nèi)置的Trivy和第三方的掃描器(如雅客云安全的掃描器等)可以支持更新CVE漏洞庫。同時,他從安全漏洞的告警流程分析,提醒關(guān)注安全漏洞披露注意事項,除了反饋軟件的原開發(fā)者外,也需要根據(jù)相關(guān)法律法規(guī)規(guī)定向網(wǎng)絡(luò)安全相關(guān)主管單位第一時間匯報。

京東科技云安全架構(gòu)師邱雁杰從Log4j2遠(yuǎn)程代碼執(zhí)行漏洞、開源組件的安全風(fēng)險及針對這些風(fēng)險的管理及切實可行方案三方面進(jìn)行分享。

Log4j2作為Java語言使用范圍極廣的基礎(chǔ)日志組件被大量應(yīng)用系統(tǒng)使用,據(jù)不完全統(tǒng)計在Github上超過6萬個開源項目受到漏洞影響,Log4j2遠(yuǎn)程代碼執(zhí)行漏洞也被大家稱為“Log4shell”,在漏洞發(fā)現(xiàn)后,很多互聯(lián)網(wǎng)公司都在第一時間進(jìn)行漏洞影響評估和修復(fù),京東科技也是,但是在我們不止看Log4j2漏洞帶來的影響,更透視和思索開源組件的安全風(fēng)險。

邱雁杰分析了Log4j2的漏洞源頭,回顧漏洞修復(fù)的情況。ApcheLog4項目維護(hù)中,項目研發(fā)人員的研發(fā)能力、代碼開發(fā)能力、功能實現(xiàn)能力都很強(qiáng),但在安全問題的解決上面的知識或者能力存在一定的不足。從2009年到2020年,開源組件漏洞數(shù)是呈現(xiàn)持續(xù)走高的態(tài)勢,當(dāng)企業(yè)或者說研發(fā)者要去使用開源組件時,安全風(fēng)險管控勢在必行。

在開源組件安全風(fēng)險管理上,邱雁杰分享了京東科技的一些工作和經(jīng)驗。在針對開源安全組件進(jìn)行風(fēng)險管理時,首先要構(gòu)建漏洞防御的系統(tǒng),能夠在漏洞爆發(fā)時幫助我們?nèi)ミM(jìn)行漏洞的防護(hù),還希望更進(jìn)一步在漏洞爆發(fā)前,或者說在漏洞發(fā)布上線前能夠提前檢測到,讓研發(fā)的同學(xué)對這樣一些漏洞進(jìn)行修復(fù),其實我們還有一個漏洞檢測系統(tǒng),根據(jù)開源組件去進(jìn)行漏洞檢測。除了防護(hù)以及到發(fā)布之前去做部署,我們更希望在研發(fā)階段就能夠幫助發(fā)現(xiàn)風(fēng)險并處置,所以,我們還建立了一個指紋采集系統(tǒng),幫助研發(fā)運維同學(xué)采集我們的指紋信息,并且能夠根據(jù)京東內(nèi)部的這樣一個漏洞庫做指紋與漏洞的比對,在研發(fā)測試階段就能發(fā)現(xiàn)對應(yīng)的漏洞進(jìn)行處置。

雅客云聯(lián)合創(chuàng)始人馮向輝分享《重構(gòu)云原生的安全體系》。從Log4j2漏洞防護(hù)方式、及“WAF已死,是DevOps打死了它”技術(shù)討論,從看似不相關(guān)的事件和討論上揭開背后的邏輯,闡述為什么要重構(gòu)云原生安全體系。

馮向輝回顧了Log4j2漏洞的利用過程、簡單的兩個步驟就引起今天整個IT界一片哀鴻,也觸動了我們的反思。在整個漏洞出來后廠家的解決方案主要有三類:左側(cè)掃描漏洞,右側(cè)攔截;左右都做,既掃描,也在運行時幫助做攔截。

在云原生環(huán)境下,DevOps的流程快速動態(tài)的引入了一些未知的應(yīng)用、庫、系統(tǒng),導(dǎo)致攻擊面無限的放大;云原生環(huán)境中微服務(wù)產(chǎn)生了海量的東西向流量,這些流量沒有辦法被安全監(jiān)管。同時在云原生的環(huán)境中,基本上有很多的安全產(chǎn)品沒有被云原生化,所以云原生環(huán)境中,網(wǎng)絡(luò)側(cè)基本在裸奔,網(wǎng)絡(luò)流量基本沒有任何防護(hù),基于這樣的條件下,一旦走向云原生,基本是“把薪助火”。

引用Log4j的攻擊鏈來看,過去我們過分關(guān)注了安全產(chǎn)品的差異化,導(dǎo)致了數(shù)據(jù)的割裂性及防護(hù)體系的欠缺。在云原生安全體系中,更需要關(guān)注數(shù)據(jù)的聯(lián)通性,淡化個體安全產(chǎn)品的差異化,更多關(guān)注安全產(chǎn)品是不是能夠采集關(guān)聯(lián)性數(shù)據(jù),在底層把數(shù)據(jù)打通,讓數(shù)據(jù)成為安全運營的指揮官,對整個安全能力及安全策略做一個統(tǒng)一的編排管理,讓數(shù)據(jù)提供全局安全指導(dǎo),實現(xiàn)軟件定義安全的終極目標(biāo)。

在整個云原生的架構(gòu)中,底層架構(gòu)安全能力很重要,所有的微服務(wù)都承載在底層的平臺上,首先要保證底層平臺基礎(chǔ)設(shè)施的安全,比如容器安全,K8s編排系統(tǒng)安全,邊緣安全等能力必須具備。然后上面一層是業(yè)務(wù)層的安全能力,基本上是網(wǎng)絡(luò)側(cè)的能力了,但是今天在整個云原生的環(huán)境中,網(wǎng)絡(luò)側(cè)的安全能力相對來講是比較脆弱的。云原生環(huán)境下,微服務(wù)間產(chǎn)生海量的東西向流量,東西向流量一定需要網(wǎng)絡(luò)安全的能力做充分的安全監(jiān)管。這種強(qiáng)需求一定會推動傳統(tǒng)的網(wǎng)絡(luò)安全能力逐漸走向云原生化,然而在整個云原生的環(huán)境中資產(chǎn)極度碎片化、工作負(fù)載極度動態(tài),因而云原生的網(wǎng)絡(luò)安全能力必須要動態(tài)地保護(hù)這些動態(tài)變遷的資產(chǎn),這種能力非常重要,這并不是簡單地把傳統(tǒng)安全產(chǎn)品塞到容器里就可以實現(xiàn)的。

馮向輝特別強(qiáng)調(diào):在云原生的環(huán)境里,數(shù)據(jù)的聯(lián)通性及完整性非常關(guān)鍵,只有打通底層數(shù)據(jù),才能讓數(shù)據(jù)說話,讓數(shù)據(jù)給安全提供全局的指導(dǎo),實現(xiàn)安全的編排,把安全能力及安全策略動態(tài)快速編排到云原生的每一個角落,實現(xiàn)安全隨業(yè)務(wù)落地而落地,隨業(yè)務(wù)遷移而遷移。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )