本周對于幽靈(Spectre)和熔毀(Meltdown)處理器安全漏洞的擔(dān)憂進(jìn)一步延續(xù)�,技術(shù)供應(yīng)商和解決方案提供商在安全補丁及其可能對性能造成的影響方面遇到了越來越多的問題��。隨著廠商和集成商進(jìn)一步的測試和研究����,關(guān)于個人電腦和服務(wù)器受到影響的新消息每天都在涌現(xiàn)。
雖然一些解決方案供應(yīng)商已經(jīng)報告稱最近部署的軟件和操作系統(tǒng)補丁對性能的影響非常小�,甚至沒有什么影響,可是一些客戶和技術(shù)專家已經(jīng)遇到了各種各樣的問題�,從CPU使用率明顯上升到藍(lán)屏問題等等。
幽靈(Spectre)和熔毀(Meltdown)威脅是旁路攻擊的范例����。其中兩個變種被稱為幽靈(Spectre),其中之一可能會泄露Linux內(nèi)核內(nèi)存�����,而另一種可以根據(jù)內(nèi)存內(nèi)容改變應(yīng)用程序的工作方式�����。第三種,也就是被稱為熔毀(Meltdown)的安全漏洞�,可以讓應(yīng)用程序讀取內(nèi)核內(nèi)存,而且不用誤導(dǎo)內(nèi)核代碼控制流�。
到目前為止,還沒有出現(xiàn)已知的利用這些安全漏洞的攻擊事件����。
企業(yè)在繼續(xù)部署幽靈(Spectre)和熔毀(Meltdown)補丁的過程中,可能會造成一些后果�。在下面的這些幻燈片中,CRN強調(diào)了值得考慮的七個關(guān)鍵點�����。
管理程序和訪客操作系統(tǒng)
在為自家的云平臺打了補丁之后�����,主流的公共云供應(yīng)商已經(jīng)要求客戶為自己的操作系統(tǒng)打補丁�。亞馬遜網(wǎng)絡(luò)服務(wù)公司(Amazon Web
Services)的官方通告指出���,在面對“其他實例”帶來的幽靈(Spectre)和熔毀(Meltdown)安全威脅方面���,客戶受到了保護(hù)����,這意味著虛擬機操作系統(tǒng)也需要打補丁——AWS的一位員工表示�����。
這些操作系統(tǒng)補丁之所以會對性能造成影響的根本原因在于應(yīng)用程序?qū)Σ僮飨到y(tǒng)內(nèi)核的系統(tǒng)調(diào)用�����。因此����,經(jīng)常在操作系統(tǒng)和應(yīng)用程序之間頻繁跳躍的工作負(fù)載——無論它們是存在于云端還是數(shù)據(jù)中心之中——最有可能遭受30%性能損失的潛在風(fēng)險,英特爾在本周早些時候確認(rèn)了這一風(fēng)險�����。請注意�����,30%是損失范圍的上限����。
英特爾的CPU計算架構(gòu)總監(jiān)Ronak
Singhal也證實了這一點���,他表示使用中具體的工作負(fù)載最為重要。英特爾補充表示�����,緩解幽靈(Spectre)和熔毀(Meltdown)安全威脅造成的性能影響平均在0%到2%之間���,絕大多數(shù)用戶工作負(fù)載受到的影響都很小����,甚至沒什么影響����。
Windows 操作系統(tǒng)更新已導(dǎo)致了問題的出現(xiàn)
微軟Windows和設(shè)備部門執(zhí)行副總裁Terry Myerson周二在一篇博客中寫道,運行Windows 10��、Windows 8和Windows
7的“舊硅(older silicon)”機器將會出現(xiàn)到“系統(tǒng)性能下降”���。這包括2015年左右使用Haswell或者更早版本CPU的電腦��。
Myerson還指出����,“當(dāng)你啟用防護(hù)措施以在Windows Server實例中隔離不可信代碼的時候”��,任何Windows
Server——特別是運行了比較重IO任務(wù)的應(yīng)用程序的服務(wù)器——都會遭遇更嚴(yán)重的性能下降�。微軟表示,運行在新硅片以及包括Skylake在內(nèi)的����、較新的CPU上的Windows
10設(shè)備應(yīng)該不會受到性能影響。
從這個星期起�,@Microsoft#Windows更新:1:Bricked SurfaceBook Pro / 1:Bricked Intel i7
/ NVidia rig / 1:Bricked Lowend HP Elitebook。非??隙ㄟ@不是我的硬件。毫無疑問;這是#Frustrating
pic.twitter.com/SuTuHEgzu7�����?!狣avid Carter (@arikos) 2018年1月9日
同樣在本周,一些微軟客戶報告稱他們在個人電腦上安裝了Windows更新后����,系統(tǒng)“無法啟動”AMD設(shè)備。AMD的一位發(fā)言人告訴CRN�����,這個bug影響到一小部分的“舊”處理器。微軟已暫時停止向受到影響的設(shè)備部署補丁程序����。AMD此前曾表示,預(yù)計軟件和操作系統(tǒng)補丁對性能造成的影響“可以忽略不計”��。
其他用戶也有問題��,包括一家依賴云計算的公司
Branch的工程總監(jiān)Ian Chan在推特上表示��,一個應(yīng)用于高輸入/輸出工作負(fù)載的AWS
EC2管理程序在打了幽靈(Spectre)補丁之后�����,導(dǎo)致CPU使用率增加了5%到20%���。 Syslog_NG的Peter
Czanik也在推特上表示��,F(xiàn)edora的編譯時間顯著地增加了�,特別是在Intel
i5處理器上使用Java時更是如此��。他補充表示�,CentOS受到了“嚴(yán)重的影響”�,而openSUSE Linux和Gentoo
Linux受到的影響則很小��。
上周晚些時候�����,Epic
Games的Fortnite團(tuán)隊在該公司的網(wǎng)站上發(fā)布了一篇博客文章�����,指責(zé)與熔毀(Meltdown)相關(guān)的安全更新“導(dǎo)致了問題和服務(wù)不穩(wěn)定性”���,并影響到其后臺�。北卡羅來納州的視頻游戲開發(fā)商Cary的基礎(chǔ)架構(gòu)是圍繞著云服務(wù)建立起來的��,該公司表示其“所有的”服務(wù)都受到了影響�����。這篇文章中包含的一張圖片��,詳細(xì)介紹了其CPU使用情況�,在1月3日晚間,這一數(shù)值增加了一倍多�。
Epic寫道:“由于我們使用的云服務(wù)進(jìn)行了更新�����,下一周��,我們的服務(wù)可能會出現(xiàn)意想不到的問題���。”
Epic寫道:“我們正在同我們的云服務(wù)提供商合作�����,防止進(jìn)一步出現(xiàn)問題��,并將盡我們的一切力量���、盡可能快地緩解并解決出現(xiàn)的任何問題��?���!?/p>
和CRN交談過的云解決方案供應(yīng)商們表示���,在大多數(shù)情況下�����,報告的性能影響可以說是微不足道的���。美國馬薩諸塞州威斯特泊勒(Westborough)的Cumulus
Global公司的首席執(zhí)行官Allen Falcon表示���,他的客戶的工作負(fù)載沒有顯示出與補丁相關(guān)的性能問題��。
對NetApp的影響
加利福尼亞州帕羅奧圖市的解決方案供應(yīng)商Integrated Archive Systems公司的副總裁John
Woodall對CRN表示���,NetApp的基于OnTap的系統(tǒng)不是任何人都可以運行其他應(yīng)用程序的環(huán)境����,如NetApp基于云的應(yīng)用程序和虛擬存儲設(shè)備����。
Woodall表示:“它們可能是建立在服務(wù)器硬件之上,而這些服務(wù)器硬件的代碼或處理器可能會受到攻擊��,但是因為OnTap控制了訪問�����,所以未經(jīng)授權(quán)的應(yīng)用程序無法訪問數(shù)據(jù)?!?/p>
Woodall補充表示,但是����,要針對幽靈(Spectre)和熔毀(Meltdown)安全風(fēng)險開發(fā)長效解決方法可能會有問題,因為有風(fēng)險的服務(wù)器可以訪問大量的數(shù)據(jù)�。他指出,由于服務(wù)器補丁可能會帶來高達(dá)30%的性能損失����,這可能會創(chuàng)造更多對存儲的需求以補償這些損失。
存儲應(yīng)用程序性能
Tom's
Hardware寫道�����,運行“企業(yè)級工作負(fù)載”的存儲應(yīng)用程序面臨的性能損失風(fēng)險最高�����,一些早期測試顯示性能降低了20%到30%���。然而�,由網(wǎng)站進(jìn)行的應(yīng)用程序基準(zhǔn)測試顯示�����,如果說打過補丁和未打補丁的Intel
Optane 900P(480 GB)之間存在著性能差異的話,差異也非常小����,這意味著綜合測試的結(jié)果可能被夸大了。
在各種不同的應(yīng)用程序工作負(fù)載場景下��,測試將固態(tài)盤彼此對比����,場景包括“魔獸世界(World of Warcraft)”和“戰(zhàn)地3(Battlefield
3)”這樣的視頻游戲����、一系列Adobe軟件產(chǎn)品和多款微軟Office工具。結(jié)果表明兩塊SSD在每個場景下的性能狀況完全相同或者近乎相同�����。
Tom's
Hardware在其文章中��,對于依賴綜合測試來衡量性能損失的做法提出了警告��,因為這些測試傾向于隔離組件——而這些組件在實際設(shè)置中是有效地協(xié)同工作的�����。
LFENCE 和Bounds
Check Bypass緩解方法
英特爾建議插入一個屏障以阻止推測進(jìn)程。推測是幽靈(Spectre)和熔毀(Meltdown)安全漏洞的核心��,它允許處理器在執(zhí)行代碼時向前跳躍以節(jié)省計算進(jìn)程的時間——但同時也可能使惡意代碼訪問芯片上的一部分內(nèi)存�����。
英特爾公司推薦使用LFENCE指令作為這一屏障�����,英特爾表示�,它可以阻止新操作的執(zhí)行,直到它們應(yīng)該被執(zhí)行時才放行�。也可以開發(fā)靜態(tài)分析規(guī)則來查找軟件中可能需要像LFENCE這樣的推測屏障的地方。
但是��,英特爾也指出����,“如果過于不受限制地使用”,LFENCE的插入可能會“顯著地”影響性能��。
安全廠商和維護(hù)CPU管理成本
CompassMSP公司的首席技術(shù)官Paul
Breitenbach表示,MSP將希望確?��?蛻羰褂梅螼S補丁要求的�����、經(jīng)過認(rèn)證的防病毒供應(yīng)商��,以防止服務(wù)器和個人電腦上出現(xiàn)藍(lán)屏�����。
Breitenbach補充表示����,在CPU使用率高的時候���,如果有CPU管理費用并將之用于系統(tǒng),有助于緩解各種對性能的影響�����。
Breitenbach表示:“沒有哪一家客戶讓我們特別擔(dān)心����。我們監(jiān)控它們的服務(wù)器的各項指標(biāo)����,以確保它們不會長期處于任何性能(損失)的邊緣��?!瓕τ贛SPs和沒有系統(tǒng)管理費用建議的公司,這可能是他們要關(guān)心的事情��?!?/p>
