log4j|当Log4j2漏洞引起广泛关注,开源组件的安全治理和云原生安全架构该怎么做?( 二 )


在整个云原生的架构中,底层架构安全能力很重要,所有的微服务都承载在底层的平台上,首先要保证底层平台基础设施的安全,比如容器安全,K8s编排系统安全,边缘安全等能力。然后上面一层是业务层的安全能力,基本上指的是网络侧的能力。但是目前在整个云原生的环境中,网络侧的安全能力相对来讲比较脆弱。在云原生环境下,微服务间会产生海量东西向流量。东西向流量一定需要对网络安全的能力做充分安全监管。这种强需求会推动传统的网络安全能力逐渐走向云原生化,然而在整个云原生的环境中资产极度碎片化、工作负载极度动态,因而云原生的网络安全能力必须要动态地保护这些动态变迁的资产,这种能力非常重要,这并不是简单地把传统安全产品塞到容器里就可以实现的。
引用Log4j的攻击链来看,过去我们过分关注了安全产品的差异化,导致了数据的割裂性及防护体系的欠缺。在云原生安全体系中,我们更需要关注数据的联通性,淡化个体安全产品的差异化。我们更需要关注安全产品是不是能够采集关联性数据,在底层把数据打通,让数据成为安全运营的指挥官,对整个安全能力及安全策略做一个统一的编排管理,让数据提供全局安全指导,实现软件定义安全的终极目标,让安全随业务落地而落地,随业务迁移而迁移。
Harbor创始人张海宁:
漏洞带来的安全问题确实是企业十分重视的话题,尤其是在很多应用向云原生平台迁移的今天,安全漏洞问题值得我们关注、应对的机制和方法需要我们深度思索。Log4j2漏洞CVE编号2021-44228,被业界称为“核弹级”漏洞。
漏洞爆发后,Harbor社区也十分关注,但是由于Harbor用Go编程语言开发,不受这个漏洞的影响。而另一方面,Harbor内置了云原生镜像扫描功能,可以发现镜像中存在的漏洞。因为Log4j2漏洞影响面非常大,所以我们建议使用Harbor的用户及时更新CVE的漏洞库,以便发现镜像中的Log4j2漏洞并采取相应的措施。目前Harbor内置的Trivy和第三方的扫描器可以支持更新CVE漏洞库。同时,从安全漏洞的告警流程分析,大家也需要关注安全漏洞披露注意事项。比如,在除了反馈软件的原开发者外,大家也需要根据相关法律法规规定向网络安全相关主管单位第一时间汇报。