安全

问:崩溃,幽灵(和新的变体) - 如何最好地应对?

答:成为Whack-A-Mole的祖父!

“......参考尝试解决问题的情况是零碎或肤浅的,导致暂时或轻微的改进......”

已经编写了很多(非常!)关于发现系统处理器的安全威胁被接触到幽灵和熔融漏洞的安全威胁。并且好像这些漏洞没有足够的严重谷歌搜索,就像:“熔点 - 幽灵瑕疵:我们’在研究人员中,找到了新的攻击变体 - 英特尔和AMD可能需要重新审视他们的微码固定用于融化和幽灵。“

卡罗琳Trippe等纸。 al。, MeltdownPrime和Spectreprime:自动综合攻击利用基于无效的一致性协议 解释说,熔化和幽灵的新变种很容易创建并泄漏具有相同精度水平的相同类型的信息。实际上, “平均超过100次运行,[它们]观察光谱填充,以在同一硬件上实现与幽灵相同的平均精度—幽灵97.9%,光谱赋予99.95%”.

正如我们大多数人所知道的那样,来自Microsoft,Intel和其他人的最新软件和硬件修复可能导致性能开销,而这些修复现在可能有效(尽管绩效命中),英特尔和AMD将要响应变体可能很快就会出现。

Linux坏消息

越来越多地,似乎,在网络安全方面 - 从来没有一个沉闷的时刻。对于那些在Linux方面的那些关于事情的新闻也变得更糟,因为这个标题意味着:“Linux Mettown补丁:‘高达800%的CPU开销’,netflix测试显示“。

像英特尔和AMD修复一样,似乎是Linux修复 - 被称为KPTI - 也可能导致不可接受的性能开销 - Netflix性能分析师Brendan Gregg看到的最大CPU绩效。

显然,究竟有多少系统受到影响取决于应用的特征。具有更高系统呼叫率的应用程序,例如执行许多微小I / O的代理和数据库,将遭受最大的损失。影响还具有更高的上下文切换和页面故障率。

使用基于Windows的服务器运行?

这里没有好消息报告 - 微软最近不得不发出紧急更新以禁用导致服务器重新启动和不稳定性的英特尔小码更新(!)这开始看起来像Mayhem。同时,Microsoft还发出了一种修补程序,可以提供可能的注册表–因为某种原因;释义, “......在Windows Server系统上的IO(输入输出)应用程序可能特别糟糕。在Windows Server Systems上,Microsoft说:“您希望谨慎地评估每个Windows Server实例的不受信任代码的风险,并为您的环境平衡安全性跟踪。”换句话说,如果您确定不会运行不受信任的代码,则可能希望禁用某些服务器系统上的修补程序。请记住,即使在虚拟机内运行的Web浏览器或代码中运行的JavaScript代码也可以利用这些错误。通常限制此代码无法完全保护计算机的常规沙箱......“  

不确定你 - 但我可以预见到这种方法不仅仅是一些问题。例如 - 如果在将来您正在寻找必须加载一些软件/安全补丁 - 但对环境的新/不熟悉 - 您将安装哪些 - 不安装?您是否已识别并测试过您以前应用的注册表调整的环境?

用IBM大型机运行?

正如IBM的典型版本,他们对如此严肃的事情的方法是保持非常紧张,直到它们尽可能达到他们所做的任何和必要的变化。基于我自己的努力,让他们的哪个系统受到影响 - 以及其中哪一个不是 - 它似乎有一些好的 - 而且有些不是那么好消息。以下似乎(目前至少)总结了他们的立场:

IBM强烈建议,我们的客户对修补的操作系统进行性能评估,该系统运行任何消息传递工作负载,包括MQ队列管理器,客户和管理文件传输代理,以确保系统仍然能够在应用任何内容之前实现其峰值处理目标操作系统修补消息传递系统。还应完成端到端的评估,其中消息传递吞吐量取决于其他组件,例如应用程序处理或数据库,或不需要修补的系统......

他们还解释说,他们最近的计划临时修复程序(PTFS)需要克服运行IBM-I操作系统的Power-8系统上的Mettdown和Specter漏洞。但是,它就不了’似乎在其他电力系统模型上需要修复。

更广泛的照片。

这是混乱的!这么多的移动部件 - 不仅仅是芯片,而是固件&软件组件也受这些漏洞的影响,这些漏洞应用于一个组件尚未得到适当测试的,因为它们需要与他人互动,特别是少于凝聚力,但是从各个供应商处唯一协调的方法。

互联网充满了关于这种整个事件的小丑遗产的信息– here’s one: 崩溃和幽灵常见问题。有许多尝试解决这些问题,所有这些都无法提供令人满意的解决方案。您还可以找到受影响所有处理器的广泛列表– here’s one: 受熔融+幽灵影响的CPU的完整列表。它没有’涂上一张好的照片。

真的,它看起来像你无法赢的一个whack-a-mol的游戏......

前进的方式?

这个问题是否有直接和完善的解决方案?不,我们现在可以在企业数据中心开始做的就是减轻。减缓和测量缓解的影响。我们’在这里谈论缓解,它’不是一个非常温暖和模糊的讨论–什么都不适用于每个人’s satisfaction.

我们没有’T谈到测量–对于您申请的任何熔化/幽灵缓解,您需要测量其对日常流程的影响。你现在有监控工具吗?如果是这样,那’太棒了;希望你’现在使用它们来描绘每个熔化/幽灵的效果“fix”您在数据中心应用。事实是您需要测量对所有系统的影响–不仅仅是您的Linux系统或Microsoft服务器,而不仅仅是您的大型机系统–您需要测量应用修复的任何和所有系统的效果。

如果你’用监控工具为数据中心的每个平台进行监控工具,然后重新武装到牙齿上,然后伟大;你’重复良好的形状。如果没有,则需要多平台监控解决方案,或者更好,更好,是多平台监控/报告和商业智能解决方案。

多平台监控/报告和商业智能解决方案可以告诉您任何熔化/幽灵修复的表现性能如何,它可以告诉您修复多少钱,超过您的预测成本。

那里有一些这些解决方案;你应该看看它;知识就是力量!

 

Neil Cattermull.
分享这篇文章: 在脸书上分享
Facebook
0在Twitter上推文
推特
分享LinkedIn.
linkedin
向某人发送电子邮件
电子邮件

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *