Hur moln utvecklas till att förbättra företagets säkerhet
Microsoft executive vice president Jason Zander satte sig ner med Dan Patterson för att diskutera molnet migration och hur det gynnar säkerheten inom företaget.
Hur illa är det Intel-chip Zombieload säkerhetsproblem? Det beror på vem du frågar. Men potentialen är stor, med angripare att kunna spionera på dina data. Ja, korrigeringar är i, men även med operativsystemet fläckar ” nya mikrokod, för att fullständigt skydda ditt system från potentiella Zombieload angripare, måste du stänga av Intel CPU hyper-threading.
Om du inte vill att dina datorer för att köra med ena foten-i-hink, vill du inte att stänga av hyper-threading. Men är ditt system säkert utan hyper-threading? Intel tror att du skulle vara OK. Men då, vad skulle den säga? Andra företag som inte håller med.
Canonical, företaget bakom Ubuntu Linux, rekommenderas att inaktivera hyper-trådar-om systemet används för att utföra opålitliga eller potentiellt skadlig kod. Naturligtvis, inte en innebär för att köra en sådan kod, men om du är på ett moln, du har ingen kontroll över vad din granne i nästa VM (virtual machine) över är igång. Red Hat överens om att Zombieload kan vara särskilt farligt på moln.
Som cloud-säkerhetsföretaget Twistlock CTO John Norman sa, “Detta problem är sannolikt av störst betydelse för att täta, multi-tenant offentliga moln leverantörer. I single-user miljöer, det är långt mindre intressant.”
De må vara, Apple och Google både varnat sina MacOS och Chrome OS-användare kanske vill inaktivera hyperthreading för att få fullt skydd. Faktum är att Google nu stänger hyper-threading som standard börjar med Chrome OS 74.
Så, om du verkligen vill skydda din system-virtuell eller fysisk-måste du stänga av hyper-threading. Som kommer till ett fruktansvärt pris prestanda.
Även Intel medgav att inaktivera hyper-threading kommer att minska din CPU-prestanda med upp till 9%. Apple har upptäckt att det kommer att slå din Mac hastighet ner av “så mycket som en 40-procentig minskning i prestanda med prover som har flertrådig arbetsbelastning och allmänna riktmärken.” Den Zombieload forskare överens om. De uppgav att stänga av hyper-threading kommer att släppa “prestanda för vissa arbetsbelastning med 30% till 40%.”
Andra riktmärken visar också fullt bevakning dig mot Zombieload kommer att kosta dig en stor andel av din hastighet.
Hur mycket? Linux benchmarking sajten Phoronix testade arbetsbelastning på Ubuntu 19.04 med sin nyaste stabila utgåvan med lappade Linux 5.0-kärnan, och den nya Intel CPU mikrokod bilder hittade Linux — den viktigaste av långt moln operativsystem — drabbats av allvarliga problem med prestanda. Det geometriska medelvärdet av tester såg om en “16% lägre prestanda out-of-the-box nu med de här åtgärden.”
Det är ofta värre när du stänger av hyper-threading för maximal säkerhet. PostgreSQL riktmärke, till exempel, finns en show-stopp prestanda minskning med nästan 40%. Under tiden Ngnix riktmärke såg en smärtsam prestanda hit på ca 34%.
Så, ska du gå hela vägen med att skydda dina servrar? Intel sade, “Praktiskt utnyttjande av MDS [Microarchitectural Data Provtagning, aka Zombieload] är en mycket komplex verksamhet. MDS inte i sig ger en angripare med ett sätt att välja de uppgifter som läckt ut.”
Som för mig, det kan vara komplexa, men med alla detaljer om sårbarheten redan är ute, tillsammans med proof-of-concept kod, det är bara en tidsfråga tills någon gör ett enkelt-att-använda attack programmet. Så, jag har redan inaktiverat hyper-threading på min cloud-baserade servrar. Jag föreslår att du gör också.
Relaterade artiklar:
Hur fullt för att skydda din Mac mot Zombieload fel, och hur illa fixa påverkar performanceLinux vs. ZombieloadIntel Processorer påverkas av nya Zombieload sida-kanal attack
Relaterade Ämnen:
Cloud
Säkerhet-TV
Hantering Av Data
CXO
Datacenter