Spring Cloud Gateway 突發高危漏洞 Log4j2 的漏洞剛告一段落，Spring 官方在 2022 年 3 月 1 日發布了 Spring Cloud Gateway 的兩個 CVE 漏洞：分別為 CVE-2022-22946（嚴重性：Medium）與 CVE-2022-22947（代碼注入漏洞，嚴重性：Critical）。

官方公告地址：https://spring.io/blog/2022/03/01/spring-cloud-gateway-cve-reports-published

漏洞詳情： ? CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability ? CVE-2022-22946: Spring Cloud Gateway HTTP2 Insecure TrustManager

官方建議通過 升級方式 進行修復： Spring Cloud users should upgrade to 2021.0.1 (which includes 3.1.1) or for 2020.0.x users should upgrade Spring Cloud Gateway to 3.0.7.

體系化安全保障

在容器技術與 K8s 主導的云原生時代，云原生網關打破了傳統的流量網關與微服務網關的兩層架構，將其合二為一，此外還提升了體系化安全保障。

微服務引擎 MSE - 云原生網關，內置 WAF（Web 應用防火墻），同時也支持集成用戶已有自建安全能力，讓業務快速構建安全屏障，支持 HTTPS 證書、IP 黑名單、認證授權（包含 JWT、OIDC 和 IDaaS）、異常流量清洗。

性能更強勁

壓測結果：

? 云原生網關的 TPS，基本是 Spring Cloud Gateway 的 2 倍，是 Zuul 的 5 倍。 ? 云原生網關的 TPS，相比 Nginx Ingress，高出約 90%。

TLS 硬件加速

隨著網絡環境的日漸復雜，傳統 HTTP 明文傳輸協議帶來的傳輸安全風險也日漸升高，因此 HTTPS 的密文傳輸協議得到了業界的普遍認可與廣泛應用。

任何事情都有其兩面性，HTTPS 帶來更高傳輸安全性的同時，由于需要做認證及數據加解密，相比 HTTP，使用 HTTPS 后使得網站訪問速度變 “慢”，且導致服務器 CPU 消耗變高、從而機器成本變得更 “貴”。

阿里云 2021 年發布了搭載最新至強處理器 Ice Lake 的 ECS 產品，利用 CPU 的硬件特性使的算力大幅提升 50% 以上。

其中提供的 Crypto Acceleration 特性，包括 Vector AES ，通過 multi-buffer lib 配合，能夠加速 AES、 RSA、EC 等密碼學計算。利用該特性使得 HTTPS 硬件加速得以擺脫專用硬件加速卡的限制，使用 CPU 內置指令結合 SIMD 機制也可以大幅提升 HTTPS 的性能。

基于此，云原生網關率先完成了對其適配，將硬件加速的性能優勢帶給用戶，在不增加用戶資源成本的同時大幅度提升 HTTPS 的性能。

壓測數據可以看出使用 TLS 硬件加速后，相比普通 HTTPS 請求 TLS 握手時延降低一倍，極限 QPS 提升80%以上。

從 Spring Cloud Gateway 快速遷移到云原生網關操作方式詳見： https://help.aliyun.com/document_detail/375387.html

發布云原生技術最新資訊、匯集云原生技術最全內容，定期舉辦云原生活動、直播，阿里產品及用戶最佳實踐發布。與你并肩探索云原生技術點滴，分享你需要的云原生內容。

關注【阿里巴巴云原生】公眾號，獲取更多云原生實時資訊！

總結

以上是生活随笔為你收集整理的Spring Cloud Gateway 突发高危漏洞，下一代云原生网关恰逢其时？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。