Вразливості CPU Intel не вплинуть на роботу клієнтів у хмарі GigaCloud
11.01.2018
ЧИТАТЬ НА РУССКОМ
GigaCloud поетапно завершує встановлення патчів для системи безпеки на всі хости, що використовуються для роботи IaaS E-Cloud (хмарної послуги для корпоративних клієнтів) та хмарних серверів S-Cloud. Це допоможе усунути вразливості, знайдені в процесорах Intel, та повністю захистити дані клієнтів без втрати продуктивності.
Наші заходи з ліквідації вразливостей
E-Cloud створено на платформі віртуалізації VMware vSphere 6.5. Офіційно компанія VMware випустила два бюлетені безпеки: 3-го та 9-го січня.
Перший стосується встановлення критичних патчів на хости кластерів, другий – патчів для системи управління віртуалізацією, а також дає рекомендації для кінцевих клієнтів. Згідно першого бюлетеню, ми практично закінчили оновлення всіх хостів. Згідно другого – роботи заплановано на наступний тиждень. Усі клієнти хмари отримають рекомендації щодо усунення вразливостей на віртуальних серверах.
Для технологій, що використовуються у віртуалізації S-Cloud, випущені офіційні патчі, які мають закрити вразливості процесорів Intel. Оновлення всіх хостів S-Cloud вже завершено.
Також технічна підтримка оновлює всі передустановлені шаблони операційних систем, існуючих у хмарі.
Як оновлення вплинуть на продуктивність
Минулого тижня стало відомо, що після встановлення необхідних патчів продуктивність пристроїв знижується на 5-30%, залежно від завдань, що виконуються. Проте наші клієнти не відчують змін у рівні продуктивності після оновлення.
«Утилізацією процесора займаємося ми – хмарний оператор, отже для клієнтів усе залишиться без змін. Це ті витрати, які ми беремо на себе», – повідомив керівник R&D відділу GigaCloud Кирило Науменко.
Що потрібно знати про вразливості Meltdown та Spectre
Нагадаємо, практично в усіх моделях процесорів Intel починаючи з 1995 року виявлено апаратні вразливості. Вперше про ці загрози розповів Янн Хорн з Google Project Zero; паралельно вразливість Meltdown зафіксувала компанія Cyberus Technology та дослідники Грацького технічного університету. Про Spectre також повідомив американський спеціаліст Пол Кочер. Він виявив проблему під час спільної роботи з дослідницькими групами низки університетів.
Meltdown (офіційна кодова назва – CVE-2017-5754) порушує ізоляцію між додатками користувачів та операційною системою. Так програма (у т.ч. шкідлива) отримує доступ до пам’яті процесора. Spectre (CVE-2017-5753 та CVE-2017-5715) порушує ізоляцію між різними додатками, тобто один софт може проникнути до пам’яті іншого. Окрім Intel, вразливість Meltdown є в процесорах ARM. Spectre поширюється і на процесори AMD.