至顶网安全频道 01月11日 编译:
通过推测进行筛选
本周对于幽灵(Spectre)和熔毁(Meltdown)处理器安全漏洞的担忧进一步延续,技术供应商和解决方案提供商在安全补丁及其可能对性能造成的影响方面遇到了越来越多的问题。随着厂商和集成商进一步的测试和研究,关于个人电脑和服务器受到影响的新消息每天都在涌现。
虽然一些解决方案供应商已经报告称最近部署的软件和操作系统补丁对性能的影响非常小,甚至没有什么影响,可是一些客户和技术专家已经遇到了各种各样的问题,从CPU使用率明显上升到蓝屏问题等等。
幽灵(Spectre)和熔毁(Meltdown)威胁是旁路攻击的范例。其中两个变种被称为幽灵(Spectre),其中之一可能会泄露Linux内核内存,而另一种可以根据内存内容改变应用程序的工作方式。第三种,也就是被称为熔毁(Meltdown)的安全漏洞,可以让应用程序读取内核内存,而且不用误导内核代码控制流。
到目前为止,还没有出现已知的利用这些安全漏洞的攻击事件。
企业在继续部署幽灵(Spectre)和熔毁(Meltdown)补丁的过程中,可能会造成一些后果。在下面的这些幻灯片中,CRN强调了值得考虑的七个关键点。
管理程序和访客操作系统
在为自家的云平台打了补丁之后,主流的公共云供应商已经要求客户为自己的操作系统打补丁。亚马逊网络服务公司(Amazon Web Services)的官方通告指出,在面对“其他实例”带来的幽灵(Spectre)和熔毁(Meltdown)安全威胁方面,客户受到了保护,这意味着虚拟机操作系统也需要打补丁——AWS的一位员工表示。
这些操作系统补丁之所以会对性能造成影响的根本原因在于应用程序对操作系统内核的系统调用。因此,经常在操作系统和应用程序之间频繁跳跃的工作负载——无论它们是存在于云端还是数据中心之中——最有可能遭受30%性能损失的潜在风险,英特尔在本周早些时候确认了这一风险。请注意,30%是损失范围的上限。
英特尔的CPU计算架构总监Ronak Singhal也证实了这一点,他表示使用中具体的工作负载最为重要。英特尔补充表示,缓解幽灵(Spectre)和熔毁(Meltdown)安全威胁造成的性能影响平均在0%到2%之间,绝大多数用户工作负载受到的影响都很小,甚至没什么影响。
Windows操作系统更新已导致了问题的出现
微软Windows和设备部门执行副总裁Terry Myerson周二在一篇博客中写道,运行Windows 10、Windows 8和Windows 7的“旧硅(older silicon)”机器将会出现到“系统性能下降”。这包括2015年左右使用Haswell或者更早版本CPU的电脑。
Myerson还指出,“当你启用防护措施以在Windows Server实例中隔离不可信代码的时候”,任何Windows Server——特别是运行了比较重IO任务的应用程序的服务器——都会遭遇更严重的性能下降。微软表示,运行在新硅片以及包括Skylake在内的、较新的CPU上的Windows 10设备应该不会受到性能影响。
从这个星期起,@Microsoft#Windows更新:1:Bricked SurfaceBook Pro / 1:Bricked Intel i7 / NVidia rig / 1:Bricked Lowend HP Elitebook。非常肯定这不是我的硬件。毫无疑问;这是#Frustrating pic.twitter.com/SuTuHEgzu7。——David Carter (@arikos) 2018年1月9日
同样在本周,一些微软客户报告称他们在个人电脑上安装了Windows更新后,系统“无法启动”AMD设备。AMD的一位发言人告诉CRN,这个bug影响到一小部分的“旧”处理器。微软已暂时停止向受到影响的设备部署补丁程序。AMD此前曾表示,预计软件和操作系统补丁对性能造成的影响“可以忽略不计”。
其他用户也有问题,包括一家依赖云计算的公司
Branch的工程总监Ian Chan在推特上表示,一个应用于高输入/输出工作负载的AWS EC2管理程序在打了幽灵(Spectre)补丁之后,导致CPU使用率增加了5%到20%。 Syslog_NG的Peter Czanik也在推特上表示,Fedora的编译时间显著地增加了,特别是在Intel i5处理器上使用Java时更是如此。他补充表示,CentOS受到了“严重的影响”,而openSUSE Linux和Gentoo Linux受到的影响则很小。
上周晚些时候,Epic Games的Fortnite团队在该公司的网站上发布了一篇博客文章,指责与熔毁(Meltdown)相关的安全更新“导致了问题和服务不稳定性”,并影响到其后台。北卡罗来纳州的视频游戏开发商Cary的基础架构是围绕着云服务建立起来的,该公司表示其“所有的”服务都受到了影响。这篇文章中包含的一张图片,详细介绍了其CPU使用情况,在1月3日晚间,这一数值增加了一倍多。
Epic写道:“由于我们使用的云服务进行了更新,下一周,我们的服务可能会出现意想不到的问题。” Epic写道:“我们正在同我们的云服务提供商合作,防止进一步出现问题,并将尽我们的一切力量、尽可能快地缓解并解决出现的任何问题。”
和CRN交谈过的云解决方案供应商们表示,在大多数情况下,报告的性能影响可以说是微不足道的。美国马萨诸塞州威斯特泊勒(Westborough)的Cumulus Global公司的首席执行官Allen Falcon表示,他的客户的工作负载没有显示出与补丁相关的性能问题。
对NetApp的影响
加利福尼亚州帕罗奥图市的解决方案供应商Integrated Archive Systems公司的副总裁John Woodall对CRN表示,NetApp的基于OnTap的系统不是任何人都可以运行其他应用程序的环境,如NetApp基于云的应用程序和虚拟存储设备。
Woodall表示:“它们可能是建立在服务器硬件之上,而这些服务器硬件的代码或处理器可能会受到攻击,但是因为OnTap控制了访问,所以未经授权的应用程序无法访问数据。”
Woodall补充表示,但是,要针对幽灵(Spectre)和熔毁(Meltdown)安全风险开发长效解决方法可能会有问题,因为有风险的服务器可以访问大量的数据。他指出,由于服务器补丁可能会带来高达30%的性能损失,这可能会创造更多对存储的需求以补偿这些损失。
存储应用程序性能
Tom's Hardware写道,运行“企业级工作负载”的存储应用程序面临的性能损失风险最高,一些早期测试显示性能降低了20%到30%。然而,由网站进行的应用程序基准测试显示,如果说打过补丁和未打补丁的Intel Optane 900P(480 GB)之间存在着性能差异的话,差异也非常小,这意味着综合测试的结果可能被夸大了。
在各种不同的应用程序工作负载场景下,测试将固态盘彼此对比,场景包括“魔兽世界(World of Warcraft)”和“战地3(Battlefield 3)”这样的视频游戏、一系列Adobe软件产品和多款微软Office工具。结果表明两块SSD在每个场景下的性能状况完全相同或者近乎相同。
Tom's Hardware在其文章中,对于依赖综合测试来衡量性能损失的做法提出了警告,因为这些测试倾向于隔离组件——而这些组件在实际设置中是有效地协同工作的。
LFENCE和Bounds Check Bypass缓解方法
英特尔建议插入一个屏障以阻止推测进程。推测是幽灵(Spectre)和熔毁(Meltdown)安全漏洞的核心,它允许处理器在执行代码时向前跳跃以节省计算进程的时间——但同时也可能使恶意代码访问芯片上的一部分内存。
英特尔公司推荐使用LFENCE指令作为这一屏障,英特尔表示,它可以阻止新操作的执行,直到它们应该被执行时才放行。也可以开发静态分析规则来查找软件中可能需要像LFENCE这样的推测屏障的地方。
但是,英特尔也指出,“如果过于不受限制地使用”,LFENCE的插入可能会“显著地”影响性能。
安全厂商和维护CPU管理成本
CompassMSP公司的首席技术官Paul Breitenbach表示,MSP将希望确保客户使用符合OS补丁要求的、经过认证的防病毒供应商,以防止服务器和个人电脑上出现蓝屏。
Breitenbach补充表示,在CPU使用率高的时候,如果有CPU管理费用并将之用于系统,有助于缓解各种对性能的影响。
Breitenbach表示:“没有哪一家客户让我们特别担心。我们监控它们的服务器的各项指标,以确保它们不会长期处于任何性能(损失)的边缘。……对于MSPs和没有系统管理费用建议的公司,这可能是他们要关心的事情。”
好文章,需要你的鼓励
临近年底,苹果公布了2024年App Store热门应用和游戏榜单,Temu再次成为美国下载量最多的免费应用。
云基础设施市场现在已经非常庞大,很难再有大的变化。但是,因为人们可以轻松地关闭服务器、存储和网络——就像开启它们那样,预测全球云基础设施开支可能非常困难。