De (performance)impact van Meltdown en Spectre

Sinds deze week is publiekelijk bekend dat er twee security exploits, genaamd Meltdown en Spectre, in verschillende processoren zitten. De schaal van het probleem is zeer groot en gaat terug naar verschillende generaties processoren en mobiele apparaten, zoals iPhones.

Vanuit verschillende softwareleveranciers zijn er inmiddels meerdere updates en patches uitgebracht, die de problemen (deels) verhelpen. Maar lopen uw systemen eigenlijk wel echt allemaal risico en dient ieder systeem gepatcht te worden? En hoe zit dat met mogelijk performanceverlies binnen een VDI-omgeving?

Onze expert Ryan geeft in deze blog antwoord...

Meltdown & Spectre in het kort
De exploits Meltdown en Spectre maken het mogelijk om informatie vanuit de kernel te lekken. In de kernel is gevoelige data beschikbaar, waaronder accountinformatie en wachtwoorden. Door middel van een code op elk rechtenniveau kan het lek misbruikt worden, zelfs vanuit een webbrowser.

De volgende video geeft een goed beeld van hoe de exploits werken:
https://www.youtube.com/watch?v=syAdX44pokE



Helaas komen de kwetsbaarheden voor in een groot deel van de processoren en mobiele apparaten.

Eenvoudig inzicht in te updaten/patchen systemen
Inmiddels hebben diverse leveranciers updates en patches uitgebracht om de lekken te dichten. Echter loopt niet ieder systeem risico en is het dus raadzaam om vooraf inzichtelijk te krijgen welke systemen wel/niet voorzien dienen te worden van een update of patch. Een PowerShell script biedt hierbij uitkomst en valideert automatisch of een systeem kwetsbaar is voor misbruik.

Een PowerShell-script is beschikbaar op:
https://support.microsoft.com/en-us/help/4074629/understanding-the-output-of-get-speculationcontrolsettings-powershell

Ook voor Linux is er een script beschikbaar:
https://github.com/speed47/spectre-meltdown-checker

Adviezen van leveranciers
De grote leveranciers hebben daarnaast een advies gepubliceerd.
Intel: https://newsroom.intel.com/press-kits/security-exploits-intel-products/
AMD: https://www.amd.com/en/corporate/speculative-execution
Microsoft: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
VMware: https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
Citrix: https://support.citrix.com/article/CTX231390

Extra: BIOS-update!
In antwoord op het nieuws hebben verschillende hardwareleveranciers een vernieuwde BIOS uitgebracht.
Houd er dus rekening mee dat ook de BIOS van de hardware geüpdatet dient te worden.

Impact op de performance
Op veel verschillende niveaus worden patches uitgebracht (browsers, operating systems, hypervisors, hardware). Op het internet is daardoor veel speculatie dat er een performance-impact zichtbaar is bij het implementeren van de patches. Meest voorkomende cijfers: 5% tot 30% CPU-verhoging door de patch.

Naast de hogere CPU-belasting zijn er meldingen over een hogere belasting op storage. Uiteraard is dit volledig afhankelijk van de generatie processor en de type workload (denk aan database clusters, VDI, webhosting etc.).

Uitgelicht: impact op VDI-omgeving
Het is mogelijk dat de updates en patches binnen een VDI-omgeving een verslechtering binnen de gebruikerservaring veroorzaken. Ons advies is om de patches zeker te installeren, maar niet zonder inzicht te hebben op de performance-impact, zodat u capaciteitsproblemen tijdig kunt voorkomen (zie ook mijn blog ‘Klakkeloos’ updaten binnen een virtuele werkplek, niet doen!). Ons team van specialisten is u hierbij graag van dienst.


Meer weten of advies inwinnen? Neem gerust contact met ons op.

---------------------------------------------------------------------------

UPDATE (17 januari 2018) - gratis licenties om impact op VDI-omgeving te meten

Komende periode biedt Login VSI gratis licenties aan om de impact van Meltdown en Spectre op uw VDI omgeving te meten.
 
“To help organizations cope with the urgent problems at hand, we offer a free Meltdown/Spectre Emergency Edition of our load-testing product Login VSI. This special license is free for all end-user organizations looking to objectively test the performance impact of Meltdown and Spectre security patches, and will be valid until March 31 2018.”
 
https://www.loginvsi.com/trial-request-meltdown-and-spectre
 
Heeft u geen ervaring met Login VSI en hulp nodig bij het inrichten en testen? ICT-Partners kan u verder helpen en neem gerust contact met ons op.

Over de auteur

Meer informatie?

Onze experts helpen u graag verder

Met ruim 80 consultants zijn wij dagelijks bezig met het oplossen van complexe vraagstukken rondom digitale strategie, de werkplek en het datacenter.

Deel dit artikel

2 comments

Stephen Tittel

Bedankt voor het overzichtelijke artikel. Ik miste in het artikel hoe er gevalideerd wordt dat er impact is op performance. Worden deze patches rücksichtslos de productie ingeslingerd in een clean sweep of worden ze een-voor-een netjes op performance gevalideerd?

Daarnaast, vanuit welk perspectief wordt de performance gemeten? Het artikel verwijst naar capaciteitsmanagement, wat een van de perspectieven zijn (kosten oogpunt). Ik mis waar het echt om gaat: de eindgebruiker. Slim om Login VSI als synthetische transactie monitoring in te zetten, het nadeel is dat het alleen maar objectiveert wat de responstijden zijn en dat het sampelt. Buiten de sampling heeft men geen grip en controle. Het vertelt een klant niet wat de oorzaak is, in welke context eventuele problemen optreedt en of dat Meltdown/Spectre patches idd de veroorzaker zijn. Waar kijken we dan naar? Symptomen of de veroorzakers? En waren die veroorzakers buiten Meltdown/Spectre al niet aanwezig door technical debt? Of door toevallige changes die zijn uitgevoerd? Kortom, het hele proces rondom het aanpakken van de Meltdown/Spectre security holes zal gedegen aangepakt moeten worden. Iets wat helaas ook in dit artikel onderbelicht is.

Stephen Tittel
APM Performance Regisseur

R. Bijkerk
Hallo Stephen,

Bedankt voor de reactie. Het doel van de blog post is om mensen bewust te maken van de eventuele gevolgen bij het toepassen van de patch. Bij het valideren van een impact in een klant omgeving is het afhankelijk van de exacte behoefte en beschikbaarheid van infrastructuur. Ons advies is om altijd de verschillende patches los van elkaar te testen om zo een goed beeld te krijgen van de impact van elke wijziging.

Wij maken gebruik van verschillende bronnen aan data om zo vanuit verschillende perspectieven de impact inzichtelijk te maken. De reproduceerbaarheid van de testen is zeer belangrijk om zo grip en controle te krijgen over alle wijzigingen. In het geval van Spectre/Meltdown zal er dus gekeken worden naar de impact van capaciteit, gebruikers-ervaring en security risico.

Is het misschien een idee om gedachten wisselen onder genot van een bakje koffie?

Met vriendelijke groet, Ryan

Add comment