安全系统零部件
名称:当Log4j2漏洞引起广泛关注开源组件的安全治理和云原生安全架构该怎么做?
发布时间:2022-09-26 01:35:59 来源:乐鱼体育在线网址 作者:leyu乐鱼全站官网



说明:

  日前,由云安全联盟大中华区主办,雅客云安全协办的《从Log4j2事件看云原生架构演进的安全挑战和解决之道》论坛也在线上举行。在活动中,前以色列Check Point中国区总经理陈欣作为主持,首个中国原创CNCF开源项目Harbor创始人张海宁、京东科技云安全架构师邱雁杰、雅客云安全的联合创始人冯向辉三位嘉宾就相关话题进行了线氪也整理了一些会议嘉宾的观点,以供读者了解和参考:

  Log4j2作为Java语言使用范围极广的基础日志组件被大量应用系统使用,据不完全统计在Github上超过6万个开源项目受到漏洞影响,Log4j2远程代码执行漏洞也被大家称为“Log4shell”。在漏洞发现后,很多互联网公司都在第一时间进行漏洞影响评估和修复,京东科技也是,但是我们不止看Log4j2漏洞带来的影响,更透视和思索开源组件的安全风险。

  在漏洞爆发前能提前检测到漏洞,能让研发的同学提前进行修复。其实我们还有一个漏洞检测系统,能根据开源组件去进行漏洞检测。并且,除了在防护以及到发布之前去做部署,我们更希望在研发阶段就能够帮助发现风险并处置,所以,我们还建立了一个指纹采集系统,用以帮助研发运维同学采集指纹信息,并且能根据京东内部的一个漏洞库做指纹与漏洞的比对,在研发测试阶段就发现对应的漏洞进行处置。雅客云联合创始人冯向辉:

  Log4j2漏洞只简单的两个步骤就引起整个IT界一片哀鸿,也触动了我们的反思。在整个漏洞出来后厂家的解决方案主要有三类:左侧扫描漏洞,右侧拦截;左右都做,既扫描,也在运行时帮助做拦截。

  在云原生环境下,DevOps的流程快速动态的引入了一些未知的应用、库、系统,导致攻击面无限的放大;云原生环境中微服务产生了海量的东西向流量,这些流量没有办法被安全监管。同时在云原生的环境中,还有很多的安全产品没有被云原生化,所以云原生环境中,网络侧基本在裸奔,网络流量基本没有任何防护。这样条件下的云原生,基本是“把薪助火”。

  云原生环境下,微服务间会产生海量东西向流量。东西向流量一定需要对网络安全的能力做充分安全监管。这种强需求会推动传统的网络安全能力逐渐走向云原生化,然而在整个云原生的环境中资产极度碎片化、工作负载极度动态,因而云原生的网络安全能力必须要动态地保护这些动态变迁的资产,这种能力非常重要,这并不是简单地把传统安全产品塞到容器里就可以实现的。引用Log4j的攻击链来看,过去我们过分关注了安全产品的差异化,导致了数据的割裂性及防护体系的欠缺。在云原生安全体系中,我们更需要关注数据的联通性,淡化个体安全产品的差异化。我们更需要关注安全产品是不是能够采集关联性数据,在底层把数据打通,让数据成为安全运营的指挥官,对整个安全能力及安全策略做一个统一的编排管理,让数据提供全局安全指导,

  漏洞带来的安全问题确实是企业十分重视的话题,尤其是在很多应用向云原生平台迁移的今天,安全漏洞问题值得我们关注、应对的机制和方法需要我们深度思索。

  漏洞爆发后,Harbor社区也十分关注,但是由于Harbor用Go编程语言开发,不受这个漏洞的影响。而另一方面,Harbor内置了云原生镜像扫描功能,可以发现镜像中存在的漏洞。因为Log4j2漏洞影响面非常大,所以我们建议使用Harbor的用户及时更新CVE的漏洞库,以便发现镜像中的Log4j2漏洞并采取相应的措施。目前Harbor内置的Trivy和第三方的扫描器可以支持更新CVE漏洞库。同时,从安全漏洞的告警流程分析,大家也需要关注安全漏洞披露注意事项。比如,在除了反馈软件的原开发者外,大家也需要根据相关法律法规规定向网络安全相关主管单位第一时间汇报。

乐鱼体育注册下载-leyu全站官网在线网址 版权所有  沪icp备12037774号-14