12月23日下午,由云安全聯(lián)盟大中華區(qū)主辦,雅客云安全協(xié)辦的《從Log4j2事件看云原生架構(gòu)演進(jìn)的挑戰(zhàn)和解決之道》線上技術(shù)論壇順利舉行。本次會(huì)議由前以色列Check Point中國(guó)區(qū)總經(jīng)理陳欣先生主持、首個(gè)中國(guó)原創(chuàng)CNCF開(kāi)源項(xiàng)目Harbor創(chuàng)始人張海寧、京東科技云安全架構(gòu)師邱雁杰、雅客云安全的聯(lián)合創(chuàng)始人馮向輝三位嘉賓線上分享。
陳欣首先介紹CSA大中華區(qū)在云安全領(lǐng)域的影響及聯(lián)盟的定位。Log4j2漏洞影響之廣、殺傷力之重,引發(fā)了安全圈的震動(dòng),也觸動(dòng)了我們對(duì)于云原生架構(gòu)演進(jìn)帶來(lái)的挑戰(zhàn)和應(yīng)對(duì)方式的反思。
Harbor創(chuàng)始人張海寧在分享中談到漏洞帶來(lái)的安全問(wèn)題確實(shí)是企業(yè)十分重視的話題,尤其是在很多應(yīng)用向云原生平臺(tái)遷移的今天,安全漏洞問(wèn)題值得我們關(guān)注、應(yīng)對(duì)的機(jī)制和方法需要我們深度思索。
Log4j2漏洞CVE編號(hào)2021-44228,被業(yè)界稱(chēng)為“核彈級(jí)”漏洞,爆發(fā)后,Harbor社區(qū)也十分關(guān)注,但是由于Harbor是用Go編程語(yǔ)言開(kāi)發(fā),不受這個(gè)漏洞的影響。另一方面,Harbor內(nèi)置了云原生鏡像掃描功能,可以發(fā)現(xiàn)鏡像中存在的漏洞。因?yàn)長(zhǎng)og4j2漏洞影響面非常大,建議使用Harbor的用戶(hù)及時(shí)更新CVE的漏洞庫(kù),以便發(fā)現(xiàn)鏡像中的Log4j2漏洞并采取相應(yīng)的措施。目前Harbor內(nèi)置的Trivy和第三方的掃描器(如雅客云安全的掃描器等)可以支持更新CVE漏洞庫(kù)。同時(shí),他從安全漏洞的告警流程分析,提醒關(guān)注安全漏洞披露注意事項(xiàng),除了反饋軟件的原開(kāi)發(fā)者外,也需要根據(jù)相關(guān)法律法規(guī)規(guī)定向網(wǎng)絡(luò)安全相關(guān)主管單位第一時(shí)間匯報(bào)。
京東科技云安全架構(gòu)師邱雁杰從Log4j2遠(yuǎn)程代碼執(zhí)行漏洞、開(kāi)源組件的安全風(fēng)險(xiǎn)及針對(duì)這些風(fēng)險(xiǎn)的管理及切實(shí)可行方案三方面進(jìn)行分享。
Log4j2作為Java語(yǔ)言使用范圍極廣的基礎(chǔ)日志組件被大量應(yīng)用系統(tǒng)使用,據(jù)不完全統(tǒng)計(jì)在Github上超過(guò)6萬(wàn)個(gè)開(kāi)源項(xiàng)目受到漏洞影響,Log4j2遠(yuǎn)程代碼執(zhí)行漏洞也被大家稱(chēng)為“Log4shell”,在漏洞發(fā)現(xiàn)后,很多互聯(lián)網(wǎng)公司都在第一時(shí)間進(jìn)行漏洞影響評(píng)估和修復(fù),京東科技也是,但是在我們不止看Log4j2漏洞帶來(lái)的影響,更透視和思索開(kāi)源組件的安全風(fēng)險(xiǎn)。
邱雁杰分析了Log4j2的漏洞源頭,回顧漏洞修復(fù)的情況。ApcheLog4項(xiàng)目維護(hù)中,項(xiàng)目研發(fā)人員的研發(fā)能力、代碼開(kāi)發(fā)能力、功能實(shí)現(xiàn)能力都很強(qiáng),但在安全問(wèn)題的解決上面的知識(shí)或者能力存在一定的不足。從2009年到2020年,開(kāi)源組件漏洞數(shù)是呈現(xiàn)持續(xù)走高的態(tài)勢(shì),當(dāng)企業(yè)或者說(shuō)研發(fā)者要去使用開(kāi)源組件時(shí),安全風(fēng)險(xiǎn)管控勢(shì)在必行。
在開(kāi)源組件安全風(fēng)險(xiǎn)管理上,邱雁杰分享了京東科技的一些工作和經(jīng)驗(yàn)。在針對(duì)開(kāi)源安全組件進(jìn)行風(fēng)險(xiǎn)管理時(shí),首先要構(gòu)建漏洞防御的系統(tǒng),能夠在漏洞爆發(fā)時(shí)幫助我們?nèi)ミM(jìn)行漏洞的防護(hù),還希望更進(jìn)一步在漏洞爆發(fā)前,或者說(shuō)在漏洞發(fā)布上線前能夠提前檢測(cè)到,讓研發(fā)的同學(xué)對(duì)這樣一些漏洞進(jìn)行修復(fù),其實(shí)我們還有一個(gè)漏洞檢測(cè)系統(tǒng),根據(jù)開(kāi)源組件去進(jìn)行漏洞檢測(cè)。除了防護(hù)以及到發(fā)布之前去做部署,我們更希望在研發(fā)階段就能夠幫助發(fā)現(xiàn)風(fēng)險(xiǎn)并處置,所以,我們還建立了一個(gè)指紋采集系統(tǒng),幫助研發(fā)運(yùn)維同學(xué)采集我們的指紋信息,并且能夠根據(jù)京東內(nèi)部的這樣一個(gè)漏洞庫(kù)做指紋與漏洞的比對(duì),在研發(fā)測(cè)試階段就能發(fā)現(xiàn)對(duì)應(yīng)的漏洞進(jìn)行處置。
雅客云聯(lián)合創(chuàng)始人馮向輝分享《重構(gòu)云原生的安全體系》。從Log4j2漏洞防護(hù)方式、及“WAF已死,是DevOps打死了它”技術(shù)討論,從看似不相關(guān)的事件和討論上揭開(kāi)背后的邏輯,闡述為什么要重構(gòu)云原生安全體系。
馮向輝回顧了Log4j2漏洞的利用過(guò)程、簡(jiǎn)單的兩個(gè)步驟就引起今天整個(gè)IT界一片哀鴻,也觸動(dòng)了我們的反思。在整個(gè)漏洞出來(lái)后廠家的解決方案主要有三類(lèi):左側(cè)掃描漏洞,右側(cè)攔截;左右都做,既掃描,也在運(yùn)行時(shí)幫助做攔截。
在云原生環(huán)境下,DevOps的流程快速動(dòng)態(tài)的引入了一些未知的應(yīng)用、庫(kù)、系統(tǒng),導(dǎo)致攻擊面無(wú)限的放大;云原生環(huán)境中微服務(wù)產(chǎn)生了海量的東西向流量,這些流量沒(méi)有辦法被安全監(jiān)管。同時(shí)在云原生的環(huán)境中,基本上有很多的安全產(chǎn)品沒(méi)有被云原生化,所以云原生環(huán)境中,網(wǎng)絡(luò)側(cè)基本在裸奔,網(wǎng)絡(luò)流量基本沒(méi)有任何防護(hù),基于這樣的條件下,一旦走向云原生,基本是“把薪助火”。
引用Log4j的攻擊鏈來(lái)看,過(guò)去我們過(guò)分關(guān)注了安全產(chǎn)品的差異化,導(dǎo)致了數(shù)據(jù)的割裂性及防護(hù)體系的欠缺。在云原生安全體系中,更需要關(guān)注數(shù)據(jù)的聯(lián)通性,淡化個(gè)體安全產(chǎn)品的差異化,更多關(guān)注安全產(chǎn)品是不是能夠采集關(guān)聯(lián)性數(shù)據(jù),在底層把數(shù)據(jù)打通,讓數(shù)據(jù)成為安全運(yùn)營(yíng)的指揮官,對(duì)整個(gè)安全能力及安全策略做一個(gè)統(tǒng)一的編排管理,讓數(shù)據(jù)提供全局安全指導(dǎo),實(shí)現(xiàn)軟件定義安全的終極目標(biāo)。
在整個(gè)云原生的架構(gòu)中,底層架構(gòu)安全能力很重要,所有的微服務(wù)都承載在底層的平臺(tái)上,首先要保證底層平臺(tái)基礎(chǔ)設(shè)施的安全,比如容器安全,K8s編排系統(tǒng)安全,邊緣安全等能力必須具備。然后上面一層是業(yè)務(wù)層的安全能力,基本上是網(wǎng)絡(luò)側(cè)的能力了,但是今天在整個(gè)云原生的環(huán)境中,網(wǎng)絡(luò)側(cè)的安全能力相對(duì)來(lái)講是比較脆弱的。云原生環(huán)境下,微服務(wù)間產(chǎn)生海量的東西向流量,東西向流量一定需要網(wǎng)絡(luò)安全的能力做充分的安全監(jiān)管。這種強(qiáng)需求一定會(huì)推動(dòng)傳統(tǒng)的網(wǎng)絡(luò)安全能力逐漸走向云原生化,然而在整個(gè)云原生的環(huán)境中資產(chǎn)極度碎片化、工作負(fù)載極度動(dòng)態(tài),因而云原生的網(wǎng)絡(luò)安全能力必須要?jiǎng)討B(tài)地保護(hù)這些動(dòng)態(tài)變遷的資產(chǎn),這種能力非常重要,這并不是簡(jiǎn)單地把傳統(tǒng)安全產(chǎn)品塞到容器里就可以實(shí)現(xiàn)的。
馮向輝特別強(qiáng)調(diào):在云原生的環(huán)境里,數(shù)據(jù)的聯(lián)通性及完整性非常關(guān)鍵,只有打通底層數(shù)據(jù),才能讓數(shù)據(jù)說(shuō)話,讓數(shù)據(jù)給安全提供全局的指導(dǎo),實(shí)現(xiàn)安全的編排,把安全能力及安全策略動(dòng)態(tài)快速編排到云原生的每一個(gè)角落,實(shí)現(xiàn)安全隨業(yè)務(wù)落地而落地,隨業(yè)務(wù)遷移而遷移。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )