log4j|当Log4j2漏洞引起广泛关注,开源组件的安全治理和云原生安全架构该怎么做?

近期,关于Log4j2漏洞的动态,正持续成为安全乃至整个IT圈的重要话题。
简单介绍,Log4j是Apache的一个开源项目, 是基于Java的日志记录框架。而Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。本次产生的Log4j2漏洞,即是存在于这一基础组件中的严重漏洞。
广泛的产品应用范围是这一漏洞产生影响的首要关键。而在另一方面,这一漏洞的利用方式也非常简单。有媒体总结,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,并能远程控制用户受害者服务器。
整体而言,这一应用范围广泛且利用方式简易的漏洞,在过去一段时间内引起了包括安全工程师在内的众多开发人员的关注。更深远的影响是,在紧急修补漏洞的动作之外,不少行业人士也由此围绕开源组件的安全治理、云原生安全的应对之策进行了讨论。
日前,由云安全联盟大中华区主办,雅客云安全协办的《从Log4j2事件看云原生架构演进的安全挑战和解决之道》论坛也在线上举行。在活动中,前以色列Check Point中国区总经理陈欣作为主持,首个中国原创CNCF开源项目Harbor创始人张海宁、京东科技云安全架构师邱雁杰、雅客云安全的联合创始人冯向辉三位嘉宾就相关话题进行了线上分享。与此同时,36氪也整理了一些会议嘉宾的观点,以供读者了解和参考:
京东科技云安全架构师邱雁杰:
Log4j2作为Java语言使用范围极广的基础日志组件被大量应用系统使用,据不完全统计在Github上超过6万个开源项目受到漏洞影响,Log4j2远程代码执行漏洞也被大家称为“Log4shell”。在漏洞发现后,很多互联网公司都在第一时间进行漏洞影响评估和修复,京东科技也是,但是我们不止看Log4j2漏洞带来的影响,更透视和思索开源组件的安全风险。
Apche Log4项目维护中,项目研发人员的研发能力、代码开发能力、功能实现能力都很强,但在安全问题的解决上面的知识或者能力存在一定的不足。从2009年到2020年,开源组件漏洞数是呈现持续走高的态势,当企业或者研发者要去使用开源组件时,安全风险管控势在必行。
【 log4j|当Log4j2漏洞引起广泛关注,开源组件的安全治理和云原生安全架构该怎么做?】在针对开源安全组件进行风险管理时,我们首先要构建漏洞防御的系统,能够在漏洞爆发时帮助进行漏洞的防护。另外,我们还希望更进一步在漏洞爆发前能提前检测到漏洞,能让研发的同学提前进行修复。其实我们还有一个漏洞检测系统,能根据开源组件去进行漏洞检测。并且,除了在防护以及到发布之前去做部署,我们更希望在研发阶段就能够帮助发现风险并处置,所以,我们还建立了一个指纹采集系统,用以帮助研发运维同学采集指纹信息,并且能根据京东内部的一个漏洞库做指纹与漏洞的比对,在研发测试阶段就发现对应的漏洞进行处置。
雅客云联合创始人冯向辉:
Log4j2漏洞只简单的两个步骤就引起整个IT界一片哀鸿,也触动了我们的反思。在整个漏洞出来后厂家的解决方案主要有三类:左侧扫描漏洞,右侧拦截;左右都做,既扫描,也在运行时帮助做拦截。
在云原生环境下,DevOps的流程快速动态的引入了一些未知的应用、库、系统,导致攻击面无限的放大;云原生环境中微服务产生了海量的东西向流量,这些流量没有办法被安全监管。同时在云原生的环境中,还有很多的安全产品没有被云原生化,所以云原生环境中,网络侧基本在裸奔,网络流量基本没有任何防护。这样条件下的云原生,基本是“把薪助火”。