12月23日下午,由云安全聯盟大中華區主辦,雅客云安全協辦的《從Log4j2事件看云原生架構演進的挑戰和解決之道》線上技術論壇順利舉行。本次會議由前以色列Check Point中國區總經理陳欣先生主持、首個中國原創CNCF開源項目Harbor創始人張海寧、京東科技云安全架構師邱雁杰、雅客云安全的聯合創始人馮向輝三位嘉賓線上分享。
陳欣首先介紹CSA大中華區在云安全領域的影響及聯盟的定位。Log4j2漏洞影響之廣、殺傷力之重,引發了安全圈的震動,也觸動了我們對于云原生架構演進帶來的挑戰和應對方式的反思。
Harbor創始人張海寧在分享中談到漏洞帶來的安全問題確實是企業十分重視的話題,尤其是在很多應用向云原生平臺遷移的今天,安全漏洞問題值得我們關注、應對的機制和方法需要我們深度思索。
Log4j2漏洞CVE編號2021-44228,被業界稱為“核彈級”漏洞,爆發后,Harbor社區也十分關注,但是由于Harbor是用Go編程語言開發,不受這個漏洞的影響。另一方面,Harbor內置了云原生鏡像掃描功能,可以發現鏡像中存在的漏洞。因為Log4j2漏洞影響面非常大,建議使用Harbor的用戶及時更新CVE的漏洞庫,以便發現鏡像中的Log4j2漏洞并采取相應的措施。目前Harbor內置的Trivy和第三方的掃描器(如雅客云安全的掃描器等)可以支持更新CVE漏洞庫。同時,他從安全漏洞的告警流程分析,提醒關注安全漏洞披露注意事項,除了反饋軟件的原開發者外,也需要根據相關法律法規規定向網絡安全相關主管單位第一時間匯報。
京東科技云安全架構師邱雁杰從Log4j2遠程代碼執行漏洞、開源組件的安全風險及針對這些風險的管理及切實可行方案三方面進行分享。
Log4j2作為Java語言使用范圍極廣的基礎日志組件被大量應用系統使用,據不完全統計在Github上超過6萬個開源項目受到漏洞影響,Log4j2遠程代碼執行漏洞也被大家稱為“Log4shell”,在漏洞發現后,很多互聯網公司都在第一時間進行漏洞影響評估和修復,京東科技也是,但是在我們不止看Log4j2漏洞帶來的影響,更透視和思索開源組件的安全風險。
邱雁杰分析了Log4j2的漏洞源頭,回顧漏洞修復的情況。Apche Log4項目維護中,項目研發人員的研發能力、代碼開發能力、功能實現能力都很強,但在安全問題的解決上面的知識或者能力存在一定的不足。從2009年到2020年,開源組件漏洞數是呈現持續走高的態勢,當企業或者說研發者要去使用開源組件時,安全風險管控勢在必行。
在開源組件安全風險管理上,邱雁杰分享了京東科技的一些工作和經驗。在針對開源安全組件進行風險管理時,首先要構建漏洞防御的系統,能夠在漏洞爆發時幫助我們去進行漏洞的防護,還希望更進一步在漏洞爆發前,或者說在漏洞發布上線前能夠提前檢測到,讓研發的同學對這樣一些漏洞進行修復,其實我們還有一個漏洞檢測系統,根據開源組件去進行漏洞檢測。除了防護以及到發布之前去做部署,我們更希望在研發階段就能夠幫助發現風險并處置,所以,我們還建立了一個指紋采集系統,幫助研發運維同學采集我們的指紋信息,并且能夠根據京東內部的這樣一個漏洞庫做指紋與漏洞的比對,在研發測試階段就能發現對應的漏洞進行處置。
雅客云聯合創始人馮向輝分享《重構云原生的安全體系》。從Log4j2漏洞防護方式、及“WAF已死,是DevOps打死了它”技術討論,從看似不相關的事件和討論上揭開背后的邏輯,闡述為什么要重構云原生安全體系。
馮向輝回顧了Log4j2漏洞的利用過程、簡單的兩個步驟就引起今天整個IT界一片哀鴻,也觸動了我們的反思。在整個漏洞出來后廠家的解決方案主要有三類:左側掃描漏洞,右側攔截;左右都做,既掃描,也在運行時幫助做攔截。
在云原生環境下,DevOps的流程快速動態的引入了一些未知的應用、庫、系統,導致攻擊面無限的放大;云原生環境中微服務產生了海量的東西向流量,這些流量沒有辦法被安全監管。同時在云原生的環境中,基本上有很多的安全產品沒有被云原生化,所以云原生環境中,網絡側基本在裸奔,網絡流量基本沒有任何防護,基于這樣的條件下,一旦走向云原生,基本是“把薪助火”。
引用Log4j的攻擊鏈來看,過去我們過分關注了安全產品的差異化,導致了數據的割裂性及防護體系的欠缺。在云原生安全體系中,更需要關注數據的聯通性,淡化個體安全產品的差異化,更多關注安全產品是不是能夠采集關聯性數據,在底層把數據打通,讓數據成為安全運營的指揮官,對整個安全能力及安全策略做一個統一的編排管理,讓數據提供全局安全指導,實現軟件定義安全的終極目標。
在整個云原生的架構中,底層架構安全能力很重要,所有的微服務都承載在底層的平臺上,首先要保證底層平臺基礎設施的安全,比如容器安全,K8s編排系統安全,邊緣安全等能力必須具備。然后上面一層是業務層的安全能力,基本上是網絡側的能力了,但是今天在整個云原生的環境中,網絡側的安全能力相對來講是比較脆弱的。云原生環境下,微服務間產生海量的東西向流量,東西向流量一定需要網絡安全的能力做充分的安全監管。這種強需求一定會推動傳統的網絡安全能力逐漸走向云原生化,然而在整個云原生的環境中資產極度碎片化、工作負載極度動態,因而云原生的網絡安全能力必須要動態地保護這些動態變遷的資產,這種能力非常重要,這并不是簡單地把傳統安全產品塞到容器里就可以實現的。
馮向輝特別強調:在云原生的環境里,數據的聯通性及完整性非常關鍵,只有打通底層數據,才能讓數據說話,讓數據給安全提供全局的指導,實現安全的編排,把安全能力及安全策略動態快速編排到云原生的每一個角落,實現安全隨業務落地而落地,隨業務遷移而遷移。
