Nieuwsbrief
donderdag 11 januari 2018

De (performance)impact van Meltdown en Spectre

Sinds deze week is publiekelijk bekend dat er twee security exploits, genaamd Meltdown en Spectre, in verschillende processoren zitten. De schaal van het probleem is zeer groot en gaat terug naar verschillende generaties processoren en mobiele apparaten, zoals iPhones. Lees verder in de blog!

De (performance)impact van Meltdown en Spectre

Vanuit verschillende softwareleveranciers zijn er inmiddels meerdere updates en patches uitgebracht, die de problemen (deels) verhelpen. Maar lopen uw systemen eigenlijk wel echt allemaal risico en dient ieder systeem gepatcht te worden? En hoe zit dat met mogelijk performanceverlies binnen een VDI-omgeving?

Onze expert Ryan geeft in deze blog antwoord...

Meltdown & Spectre in het kort
De exploits Meltdown en Spectre maken het mogelijk om informatie vanuit de kernel te lekken. In de kernel is gevoelige data beschikbaar, waaronder accountinformatie en wachtwoorden. Door middel van een code op elk rechtenniveau kan het lek misbruikt worden, zelfs vanuit een webbrowser.

De volgende video geeft een goed beeld van hoe de exploits werken:
https://www.youtube.com/watch?v=syAdX44pokE



Helaas komen de kwetsbaarheden voor in een groot deel van de processoren en mobiele apparaten.

Eenvoudig inzicht in te updaten/patchen systemen
Inmiddels hebben diverse leveranciers updates en patches uitgebracht om de lekken te dichten. Echter loopt niet ieder systeem risico en is het dus raadzaam om vooraf inzichtelijk te krijgen welke systemen wel/niet voorzien dienen te worden van een update of patch. Een PowerShell script biedt hierbij uitkomst en valideert automatisch of een systeem kwetsbaar is voor misbruik.

Een PowerShell-script is beschikbaar op:
https://support.microsoft.com/en-us/help/4074629/understanding-the-output-of-get-speculationcontrolsettings-powershell

Ook voor Linux is er een script beschikbaar:
https://github.com/speed47/spectre-meltdown-checker

Adviezen van leveranciers
De grote leveranciers hebben daarnaast een advies gepubliceerd.
Intel: https://newsroom.intel.com/press-kits/security-exploits-intel-products/
AMD: https://www.amd.com/en/corporate/speculative-execution
Microsoft: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
VMware: https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
Citrix: https://support.citrix.com/article/CTX231390

Extra: BIOS-update!
In antwoord op het nieuws hebben verschillende hardwareleveranciers een vernieuwde BIOS uitgebracht.
Houd er dus rekening mee dat ook de BIOS van de hardware geüpdatet dient te worden.

Impact op de performance
Op veel verschillende niveaus worden patches uitgebracht (browsers, operating systems, hypervisors, hardware). Op het internet is daardoor veel speculatie dat er een performance-impact zichtbaar is bij het implementeren van de patches. Meest voorkomende cijfers: 5% tot 30% CPU-verhoging door de patch.

Naast de hogere CPU-belasting zijn er meldingen over een hogere belasting op storage. Uiteraard is dit volledig afhankelijk van de generatie processor en de type workload (denk aan database clusters, VDI, webhosting etc.).

Uitgelicht: impact op VDI-omgeving
Het is mogelijk dat de updates en patches binnen een VDI-omgeving een verslechtering binnen de gebruikerservaring veroorzaken. Ons advies is om de patches zeker te installeren, maar niet zonder inzicht te hebben op de performance-impact, zodat u capaciteitsproblemen tijdig kunt voorkomen (zie ook mijn blog ‘Klakkeloos’ updaten binnen een virtuele werkplek, niet doen!). Ons team van specialisten is u hierbij graag van dienst.


Meer weten of advies inwinnen? Neem gerust contact met ons op.

 

Uw inschrijving is geregistreerd. Hartelijk dank voor uw aanmelding.