Log4j2事件看云原生架构演进的安全挑战和解决之道|CS devops

【Log4j2事件看云原生架构演进的安全挑战和解决之道|CS devops】12月23日下午,由云安全联盟大中华区主办,雅客云安全协办的《从Log4j2事件看云原生架构演进的挑战和解决之道》线上技术论坛顺利举行。本次会议由前以色列Check Point中国区总经理陈欣先生主持、首个中国原创CNCF开源项目Harbor创始人张海宁、京东科技云安全架构师邱雁杰、雅客云安全的联合创始人冯向辉三位嘉宾线上分享。
陈欣首先介绍CSA大中华区在云安全领域的影响及联盟的定位。Log4j2漏洞影响之广、杀伤力之重,引发了安全圈的震动,也触动了我们对于云原生架构演进带来的挑战和应对方式的反思。
Harbor创始人张海宁在分享中谈到漏洞带来的安全问题确实是企业十分重视的话题,尤其是在很多应用向云原生平台迁移的今天,安全漏洞问题值得我们关注、应对的机制和方法需要我们深度思索。
Log4j2漏洞CVE编号2021-44228,被业界称为“核弹级”漏洞,爆发后,Harbor社区也十分关注,但是由于Harbor是用Go编程语言开发,不受这个漏洞的影响。另一方面,Harbor内置了云原生镜像扫描功能,可以发现镜像中存在的漏洞。因为Log4j2漏洞影响面非常大,建议使用Harbor的用户及时更新CVE的漏洞库,以便发现镜像中的Log4j2漏洞并采取相应的措施。目前Harbor内置的Trivy和第三方的扫描器(如雅客云安全的扫描器等)可以支持更新CVE漏洞库。同时,他从安全漏洞的告警流程分析,提醒关注安全漏洞披露注意事项,除了反馈软件的原开发者外,也需要根据相关法律法规规定向网络安全相关主管单位第一时间汇报。
京东科技云安全架构师邱雁杰从Log4j2远程代码执行漏洞、开源组件的安全风险及针对这些风险的管理及切实可行方案三方面进行分享。
Log4j2作为Java语言使用范围极广的基础日志组件被大量应用系统使用,据不完全统计在Github上超过6万个开源项目受到漏洞影响,Log4j2远程代码执行漏洞也被大家称为“Log4shell”,在漏洞发现后,很多互联网公司都在第一时间进行漏洞影响评估和修复,京东科技也是,但是在我们不止看Log4j2漏洞带来的影响,更透视和思索开源组件的安全风险。
邱雁杰分析了Log4j2的漏洞源头,回顾漏洞修复的情况。Apche Log4项目维护中,项目研发人员的研发能力、代码开发能力、功能实现能力都很强,但在安全问题的解决上面的知识或者能力存在一定的不足。从2009年到2020年,开源组件漏洞数是呈现持续走高的态势,当企业或者说研发者要去使用开源组件时,安全风险管控势在必行。
在开源组件安全风险管理上,邱雁杰分享了京东科技的一些工作和经验。在针对开源安全组件进行风险管理时,首先要构建漏洞防御的系统,能够在漏洞爆发时帮助我们去进行漏洞的防护,还希望更进一步在漏洞爆发前,或者说在漏洞发布上线前能够提前检测到,让研发的同学对这样一些漏洞进行修复,其实我们还有一个漏洞检测系统,根据开源组件去进行漏洞检测。除了防护以及到发布之前去做部署,我们更希望在研发阶段就能够帮助发现风险并处置,所以,我们还建立了一个指纹采集系统,帮助研发运维同学采集我们的指纹信息,并且能够根据京东内部的这样一个漏洞库做指纹与漏洞的比对,在研发测试阶段就能发现对应的漏洞进行处置。
雅客云联合创始人冯向辉分享《重构云原生的安全体系》。从Log4j2漏洞防护方式、及“WAF已死,是DevOps打死了它”技术讨论,从看似不相关的事件和讨论上揭开背后的逻辑,阐述为什么要重构云原生安全体系。
冯向辉回顾了Log4j2漏洞的利用过程、简单的两个步骤就引起今天整个IT界一片哀鸿,也触动了我们的反思。在整个漏洞出来后厂家的解决方案主要有三类:左侧扫描漏洞,右侧拦截;左右都做,既扫描,也在运行时帮助做拦截。