CLOUDSTAR

Gepubliceerd op donderdag 4 januari 2018

Dit doet Cloudstar om risico's Spectre en Meltdown te minimaliseren

De afgelopen dagen is er in de pers heel wat te doen rond kwetsbaarheden Spectre en Meltdown die impact heeft op alle moderne procesoren van oa. Intel en AMD, die ook in onze servers gebruikt worden. Met dit artikel willen we u graag informeren over wat de impact is voor onze partners en hun klant en welke acties we ondernemen.

Oorzaak

Processoren gebruiken optimalisatietechnieken die proberen voorspellen welke stukken geheugen nodig kunnen zijn en die al vooraf inladen in het snelle cachegeheugen van de processor. Een aanvaller kan informatie uit die cache lezen, waardoor stukjes geheugen leesbaar worden. Die aanvaller moet wel toegang hebben tot het systeem.

 

Risico

Op dit ogenblik is er nog geen enkele aanval of hack gekend die gebruik maakt deze 2 kwetsbaarheden.

Er is echter wel een reëel risico dat er in de komende weken en maanden aanvalssoftware beschikbaar komt die de kwetsbaarheden zal uitbuiten. Vooral door de grote mediabelangstelling is dit bijna een zekerheid.

De servers van Cloudstar zijn allemaal gehost binnen een private cloud en de servers worden volledig beheerd door Cloudstar, waardoor het risico een kleiner is dan in een public cloud. Het risico is echter niet onbestaande. Daarom nemen we ook direct actie.

 

Acties

De veiligheid van de gegevens die gehost worden bij Cloudstar zijn prioritair.  Daarom volgen we de situatie op de voet op.

Verschillende leveranciers voorzien software patches die huidige aanvalsmethodes van Spectre en Meltdown geheel of gedeeltelijk tegengaan. De basisoorzaak ligt echter in hardware. Hiervoor is er de komende jaren geen fundamentele oplossing.

Veel servers hebben intussen al een patch gekregen als die al beschikbaar is. Zodra er nieuwe patches beschikbaar komen zullen we die zo snel mogelijk toepassen voor ALLE SERVERS, op zowel firmware, hypervisor en VM niveau. In vele gevallen zal er een reboot nodig zijn om de patch actief te maken, waardoor er een korte downtime kan zijn. We proberen dit uiteraard te beperken. Waar dat mogelijk is zullen we die buiten kantooruren doen om de impact te minimaliseren.

Meer informatie over de beschikbaarheid van patches kan je hier vinden: https://github.com/hannob/meltdownspectre-patches

 

Performantie impact

Doordat er verschillende optimalisatietechnieken in processoren worden uitgeschakeld en er extra software controles worden ingebouwd, kan er een performantie impact zijn. Benchmarks spreken van 5% tot 30% aan performantieverlies. We hebben op dit ongenblik onvoldoende gegevens wat de impact is op onze omgeving en individuele VM’s.

Onze prioriteit ligt bij de veiligheid van onze systemen en de gegevens die er op gehost zijn. We willen daarom zo snel mogelijk de stabiele patches installeren om de veiligheidsrisico’s te minimaliseren.

Wanneer er problemen met de performantie zouden opduiken, dan zullen we daar de mogelijke acties voor bekijken.

 

Contacteer ons indien je hierover vragen of suggesties hebt.