Hlavní navigace

Jak se zranitelnosti Spectre a Meltdown projevily v českých datacentrech?

Autor: Karel Choc, Internet Info
Jan Sedlák

Otázkou je mimo jiné to, jaké reálné dopady budou mít záplaty zranitelnosti procesorů na výkon serverů v datacentrech.

Doba čtení: 3 minuty

Zranitelnosti Meltdown a Spectre připravily provozovatelům serverů a datových center v Česku poměrně divoký začátek roku. Nasazují záplaty, odhadují dopady, náklady a komunikují se zákazníky. „Leden je měsíc, kdy se prostě restartuje internet,“ říká s nadsázkou šéf VSHostingu Damir Špoljarič.

To, jak moc práce a peněz updatování infrastruktury spolyká, tuzemští provozovatelé ještě neumí úplně odhadnout. „Odhadem lze mluvit i o několika stovkách hodin práce na updatech. Aktualizujeme tisíce serverů ručně. Musí se aktualizovat kernel a oproti běžným minor updatům, které se automaticky provádí denně, servery restartovat. Když sleduji třeba OVH, nejsou na tom o moc jinak,“ navazuje Špoljarič s tím, že se v jeho firmě těmto aktivitám věnuje až osm lidí.

TIP – detailněji o zranitelnostech píše server Root.cz: V čem spočívají Meltdown a Spectre? Zneužívají optimalizací procesorů

Rutinní práce

České Radiokomunikace, které provozují vlastní cloudy a datové centrum Tower na Žižkově, mluví trochu mírněji. „Samotné nasazení patchů se nelišilo od jindy prováděných minor-upgradů. Pro práci se systémovými profily využíváme nástroje usnadňující správu, daná operace byla prováděna rutinně a bez větší pracnosti. Vlivem této situace také uvažujeme o větší diverzifikaci infrastruktury do budoucna,“ uvádí produktový manažer Radiokomunikací Marek Erneker.

Podobně mluví také brněnský Master Internet, který provozuje datacentra v Praze a Brně: „Pro cloud aplikujeme patche, které například VMware vydal skoro hned. Tyto záplaty aplikují administrátoři Masteru v rámci standardních upgrade cyklů. Nepředstavují tak pro nás nějaké zvýšené náklady, neboť v rámci standardní údržby probíhají automatizovaně a bez výpadků. Těm zákazníkům, jejichž servery nespravujeme, jsme doporučili řídit se pokyny výrobců operačních systémů.“

„Veškeré virtualizační platformy, hypervisory a operační systémy, firmware/BIOSy, jichž se slabiny mohou týkat, jsou v rámci námi poskytovaných služeb pravidelně aktualizovány. V případě aplikace bezpečnostních záplat na slabiny Meltdown a Spectre čekáme na vydání opravných balíčků, které budou po řádném otestování v testovacím prostředí řízeně implementovány do produkce. Pro platformu Microsoft již opravné balíčky existují, stejně tak i nejnovější BIOSy pro servery Hewlett Packard Enterprise, kde je problém odstraněn na straně mikrokódu v procesoru. I tyto bezpečnostní záplaty aktuálně testujeme a následně naimplementujeme do produkčního prostředí,“ dodává pak technický ředitel firmy DataSpring David Lukeš.

Bez zásadního poklesu výkonu

Otázkou je také to, jaké reálné dopady budou mít záplaty Spectre a Meltdown na výkon procesorů a serverů. „První nasazené patche nevykazují žádný viditelný pokles výkonu, ale je ještě brzy na celkové hodnocení,“ míní technický ředitel Seznamu Vlastimil Pečínka. „Situace, kterou Spectre a Meltdown způsobily, se dotkne zejména práce bezpečnostních týmu a adminů (v analytické rovině) a následně všech admin týmů pracujících v provozu při rutinním procesu výměny kernelu,“ dodává.

Přidává se i Master Internet. „Výkon průběžně monitorujeme a byť očekáváme jeho degradaci, prozatím žádný dramatický propad nepozorujeme,“ uvádí firma.

Některé odhady mluví o tom, že by zranitelnosti mohly ovlivnit výkon procesorů až o 30 procent. Pokud by se něco takového v praxi skutečně potvrdilo, mohlo by to podle Radka Majera ze společnosti TTC, která provozuje dvě datacentra v Praze, znamenat i vyšší potřebu kolokačních ploch, protože by bylo potřeba i větší množství strojů.

„První odhady mluví o tom, že to může znamenat narůst plochy až o 20 procent. Ale to je jen zběžná úvaha, realita asi bude někde jinde a teprve se ukáže,“ zamýšlí se Majer.

Spíše jednotky procent

První reálné testy ukazují, že dopady na výkon mohou být spíše v jednotkách procent. Je zde i další věc – servery obecně často nemusí jet na maximální výkon a mají výkonnostní rezervy. Podobné je to také se zaplněností zdejších datacenter. Okamžitá potřeba nových kolokačních prostor by tak neměla být na pořadu dne.

TVCON 2018 Tip goNET

Provozovatel cloudových služeb G2 server postupně s partnery instaluje záplaty. Společně s nasazováním do ostrého provozu každopádně raději preventivně navyšuje hardwarový výkon svého veřejného cloudu.

„Tyto zranitelnosti jsou obecně významným problémem pro virtualizovanou infrastrukturu. Celá naše infrastruktura je budována s důrazem na vysoký výkon a tyto bugy tedy mají vliv i na naše služby – chyby se týkají i námi využívaných procesorů. Z tohoto důvodu jsme do infrastruktury nasadili patche implementující KPTI. Velkou výhodou je ve vší podstatě fakt, že tyto patche všichni námi využívaní dodavatelé již měli připravené a jejich nasazení bylo tedy relativně jednoduchou procedurou. Máme také připravený postup, který nám pomůže zohlednit dopady na výkon infrastruktury,“ dodává Erneker z ČRa.

Našli jste v článku chybu?