Hlavní navigace

Jak se zranitelnosti Spectre a Meltdown projevily v českých datacentrech?

Autor: Karel Choc, Internet Info
Jan Sedlák

Otázkou je mimo jiné to, jaké reálné dopady budou mít záplaty zranitelnosti procesorů na výkon serverů v datacentrech.

Doba čtení: 3 minuty

Zranitelnosti Meltdown a Spectre připravily provozovatelům serverů a datových center v Česku poměrně divoký začátek roku. Nasazují záplaty, odhadují dopady, náklady a komunikují se zákazníky. „Leden je měsíc, kdy se prostě restartuje internet,“ říká s nadsázkou šéf VSHostingu Damir Špoljarič.

To, jak moc práce a peněz updatování infrastruktury spolyká, tuzemští provozovatelé ještě neumí úplně odhadnout. „Odhadem lze mluvit i o několika stovkách hodin práce na updatech. Aktualizujeme tisíce serverů ručně. Musí se aktualizovat kernel a oproti běžným minor updatům, které se automaticky provádí denně, servery restartovat. Když sleduji třeba OVH, nejsou na tom o moc jinak,“ navazuje Špoljarič s tím, že se v jeho firmě těmto aktivitám věnuje až osm lidí.

TIP – detailněji o zranitelnostech píše server Root.cz: V čem spočívají Meltdown a Spectre? Zneužívají optimalizací procesorů

Rutinní práce

České Radiokomunikace, které provozují vlastní cloudy a datové centrum Tower na Žižkově, mluví trochu mírněji. „Samotné nasazení patchů se nelišilo od jindy prováděných minor-upgradů. Pro práci se systémovými profily využíváme nástroje usnadňující správu, daná operace byla prováděna rutinně a bez větší pracnosti. Vlivem této situace také uvažujeme o větší diverzifikaci infrastruktury do budoucna,“ uvádí produktový manažer Radiokomunikací Marek Erneker.

Podobně mluví také brněnský Master Internet, který provozuje datacentra v Praze a Brně: „Pro cloud aplikujeme patche, které například VMware vydal skoro hned. Tyto záplaty aplikují administrátoři Masteru v rámci standardních upgrade cyklů. Nepředstavují tak pro nás nějaké zvýšené náklady, neboť v rámci standardní údržby probíhají automatizovaně a bez výpadků. Těm zákazníkům, jejichž servery nespravujeme, jsme doporučili řídit se pokyny výrobců operačních systémů.“

„Veškeré virtualizační platformy, hypervisory a operační systémy, firmware/BIOSy, jichž se slabiny mohou týkat, jsou v rámci námi poskytovaných služeb pravidelně aktualizovány. V případě aplikace bezpečnostních záplat na slabiny Meltdown a Spectre čekáme na vydání opravných balíčků, které budou po řádném otestování v testovacím prostředí řízeně implementovány do produkce. Pro platformu Microsoft již opravné balíčky existují, stejně tak i nejnovější BIOSy pro servery Hewlett Packard Enterprise, kde je problém odstraněn na straně mikrokódu v procesoru. I tyto bezpečnostní záplaty aktuálně testujeme a následně naimplementujeme do produkčního prostředí,“ dodává pak technický ředitel firmy DataSpring David Lukeš.

Bez zásadního poklesu výkonu

Otázkou je také to, jaké reálné dopady budou mít záplaty Spectre a Meltdown na výkon procesorů a serverů. „První nasazené patche nevykazují žádný viditelný pokles výkonu, ale je ještě brzy na celkové hodnocení,“ míní technický ředitel Seznamu Vlastimil Pečínka. „Situace, kterou Spectre a Meltdown způsobily, se dotkne zejména práce bezpečnostních týmu a adminů (v analytické rovině) a následně všech admin týmů pracujících v provozu při rutinním procesu výměny kernelu,“ dodává.

Přidává se i Master Internet. „Výkon průběžně monitorujeme a byť očekáváme jeho degradaci, prozatím žádný dramatický propad nepozorujeme,“ uvádí firma.

Některé odhady mluví o tom, že by zranitelnosti mohly ovlivnit výkon procesorů až o 30 procent. Pokud by se něco takového v praxi skutečně potvrdilo, mohlo by to podle Radka Majera ze společnosti TTC, která provozuje dvě datacentra v Praze, znamenat i vyšší potřebu kolokačních ploch, protože by bylo potřeba i větší množství strojů.

„První odhady mluví o tom, že to může znamenat narůst plochy až o 20 procent. Ale to je jen zběžná úvaha, realita asi bude někde jinde a teprve se ukáže,“ zamýšlí se Majer.

Spíše jednotky procent

První reálné testy ukazují, že dopady na výkon mohou být spíše v jednotkách procent. Je zde i další věc – servery obecně často nemusí jet na maximální výkon a mají výkonnostní rezervy. Podobné je to také se zaplněností zdejších datacenter. Okamžitá potřeba nových kolokačních prostor by tak neměla být na pořadu dne.

WT100 tip v článku Kabátová

Provozovatel cloudových služeb G2 server postupně s partnery instaluje záplaty. Společně s nasazováním do ostrého provozu každopádně raději preventivně navyšuje hardwarový výkon svého veřejného cloudu.

„Tyto zranitelnosti jsou obecně významným problémem pro virtualizovanou infrastrukturu. Celá naše infrastruktura je budována s důrazem na vysoký výkon a tyto bugy tedy mají vliv i na naše služby – chyby se týkají i námi využívaných procesorů. Z tohoto důvodu jsme do infrastruktury nasadili patche implementující KPTI. Velkou výhodou je ve vší podstatě fakt, že tyto patche všichni námi využívaní dodavatelé již měli připravené a jejich nasazení bylo tedy relativně jednoduchou procedurou. Máme také připravený postup, který nám pomůže zohlednit dopady na výkon infrastruktury,“ dodává Erneker z ČRa.

Našli jste v článku chybu?