通過推測進行篩選

本周對于幽靈(Spectre)和熔毀(Meltdown)處理器安全漏洞的擔憂進一步延續，技術供應商和解決方案提供商在安全補丁及其可能對性能造成的影響方面遇到了越來越多的問題。隨著廠商和集成商進一步的測試和研究，關于個人電腦和服務器受到影響的新消息每天都在涌現。

雖然一些解決方案供應商已經報告稱最近部署的軟件和操作系統補丁對性能的影響非常小，甚至沒有什么影響，可是一些客戶和技術專家已經遇到了各種各樣的問題，從CPU使用率明顯上升到藍屏問題等等。

幽靈(Spectre)和熔毀(Meltdown)威脅是旁路攻擊的范例。其中兩個變種被稱為幽靈(Spectre)，其中之一可能會泄露Linux內核內存，而另一種可以根據內存內容改變應用程序的工作方式。第三種，也就是被稱為熔毀(Meltdown)的安全漏洞，可以讓應用程序讀取內核內存，而且不用誤導內核代碼控制流。

到目前為止，還沒有出現已知的利用這些安全漏洞的攻擊事件。

企業在繼續部署幽靈(Spectre)和熔毀(Meltdown)補丁的過程中，可能會造成一些后果。在下面的這些幻燈片中，CRN強調了值得考慮的七個關鍵點。

管理程序和訪客操作系統

在為自家的云平臺打了補丁之后，主流的公共云供應商已經要求客戶為自己的操作系統打補丁。亞馬遜網絡服務公司(Amazon Web Services)的官方通告指出，在面對“其他實例”帶來的幽靈(Spectre)和熔毀(Meltdown)安全威脅方面，客戶受到了保護，這意味著虛擬機操作系統也需要打補丁——AWS的一位員工表示。

這些操作系統補丁之所以會對性能造成影響的根本原因在于應用程序對操作系統內核的系統調用。因此，經常在操作系統和應用程序之間頻繁跳躍的工作負載——無論它們是存在于云端還是數據中心之中——最有可能遭受30%性能損失的潛在風險，英特爾在本周早些時候確認了這一風險。請注意，30%是損失范圍的上限。

英特爾的CPU計算架構總監Ronak Singhal也證實了這一點，他表示使用中具體的工作負載最為重要。英特爾補充表示，緩解幽靈(Spectre)和熔毀(Meltdown)安全威脅造成的性能影響平均在0%到2%之間，絕大多數用戶工作負載受到的影響都很小，甚至沒什么影響。

Windows操作系統更新已導致了問題的出現

微軟Windows和設備部門執行副總裁Terry Myerson周二在一篇博客中寫道，運行Windows 10、Windows 8和Windows 7的“舊硅(older silicon)”機器將會出現到“系統性能下降”。這包括2015年左右使用Haswell或者更早版本CPU的電腦。

Myerson還指出，“當你啟用防護措施以在Windows Server實例中隔離不可信代碼的時候”，任何Windows Server——特別是運行了比較重IO任務的應用程序的服務器——都會遭遇更嚴重的性能下降。微軟表示，運行在新硅片以及包括Skylake在內的、較新的CPU上的Windows 10設備應該不會受到性能影響。

從這個星期起，@Microsoft#Windows更新：1：Bricked SurfaceBook Pro / 1：Bricked Intel i7 / NVidia rig / 1：Bricked Lowend HP Elitebook。非常肯定這不是我的硬件。毫無疑問;這是#Frustrating pic.twitter.com/SuTuHEgzu7。——David Carter (@arikos) 2018年1月9日

同樣在本周，一些微軟客戶報告稱他們在個人電腦上安裝了Windows更新后，系統“無法啟動”AMD設備。AMD的一位發言人告訴CRN，這個bug影響到一小部分的“舊”處理器。微軟已暫時停止向受到影響的設備部署補丁程序。AMD此前曾表示，預計軟件和操作系統補丁對性能造成的影響“可以忽略不計”。

其他用戶也有問題，包括一家依賴云計算的公司

Branch的工程總監Ian Chan在推特上表示，一個應用于高輸入/輸出工作負載的AWS EC2管理程序在打了幽靈(Spectre)補丁之后，導致CPU使用率增加了5%到20%。 Syslog_NG的Peter Czanik也在推特上表示，Fedora的編譯時間顯著地增加了，特別是在Intel i5處理器上使用Java時更是如此。他補充表示，CentOS受到了“嚴重的影響”，而openSUSE Linux和Gentoo Linux受到的影響則很小。

上周晚些時候，Epic Games的Fortnite團隊在該公司的網站上發布了一篇博客文章，指責與熔毀(Meltdown)相關的安全更新“導致了問題和服務不穩定性”，并影響到其后臺。北卡羅來納州的視頻游戲開發商Cary的基礎架構是圍繞著云服務建立起來的，該公司表示其“所有的”服務都受到了影響。這篇文章中包含的一張圖片，詳細介紹了其CPU使用情況，在1月3日晚間，這一數值增加了一倍多。

Epic寫道：“由于我們使用的云服務進行了更新，下一周，我們的服務可能會出現意想不到的問題。” Epic寫道：“我們正在同我們的云服務提供商合作，防止進一步出現問題，并將盡我們的一切力量、盡可能快地緩解并解決出現的任何問題。”

和CRN交談過的云解決方案供應商們表示，在大多數情況下，報告的性能影響可以說是微不足道的。美國馬薩諸塞州威斯特泊勒(Westborough)的Cumulus Global公司的首席執行官Allen Falcon表示，他的客戶的工作負載沒有顯示出與補丁相關的性能問題。

對NetApp的影響

加利福尼亞州帕羅奧圖市的解決方案供應商Integrated Archive Systems公司的副總裁John Woodall對CRN表示，NetApp的基于OnTap的系統不是任何人都可以運行其他應用程序的環境，如NetApp基于云的應用程序和虛擬存儲設備。

Woodall表示：“它們可能是建立在服務器硬件之上，而這些服務器硬件的代碼或處理器可能會受到攻擊，但是因為OnTap控制了訪問，所以未經授權的應用程序無法訪問數據。”

Woodall補充表示，但是，要針對幽靈(Spectre)和熔毀(Meltdown)安全風險開發長效解決方法可能會有問題，因為有風險的服務器可以訪問大量的數據。他指出，由于服務器補丁可能會帶來高達30%的性能損失，這可能會創造更多對存儲的需求以補償這些損失。

存儲應用程序性能

Tom's Hardware寫道，運行“企業級工作負載”的存儲應用程序面臨的性能損失風險最高，一些早期測試顯示性能降低了20%到30%。然而，由網站進行的應用程序基準測試顯示，如果說打過補丁和未打補丁的Intel Optane 900P(480 GB)之間存在著性能差異的話，差異也非常小，這意味著綜合測試的結果可能被夸大了。

在各種不同的應用程序工作負載場景下，測試將固態盤彼此對比，場景包括“魔獸世界(World of Warcraft)”和“戰地3(Battlefield 3)”這樣的視頻游戲、一系列Adobe軟件產品和多款微軟Office工具。結果表明兩塊SSD在每個場景下的性能狀況完全相同或者近乎相同。

Tom's Hardware在其文章中，對于依賴綜合測試來衡量性能損失的做法提出了警告，因為這些測試傾向于隔離組件——而這些組件在實際設置中是有效地協同工作的。

LFENCE和Bounds Check Bypass緩解方法

英特爾建議插入一個屏障以阻止推測進程。推測是幽靈(Spectre)和熔毀(Meltdown)安全漏洞的核心，它允許處理器在執行代碼時向前跳躍以節省計算進程的時間——但同時也可能使惡意代碼訪問芯片上的一部分內存。

英特爾公司推薦使用LFENCE指令作為這一屏障，英特爾表示，它可以阻止新操作的執行，直到它們應該被執行時才放行。也可以開發靜態分析規則來查找軟件中可能需要像LFENCE這樣的推測屏障的地方。

但是，英特爾也指出，“如果過于不受限制地使用”，LFENCE的插入可能會“顯著地”影響性能。

安全廠商和維護CPU管理成本

CompassMSP公司的首席技術官Paul Breitenbach表示，MSP將希望確保客戶使用符合OS補丁要求的、經過認證的防病毒供應商，以防止服務器和個人電腦上出現藍屏。

Breitenbach補充表示，在CPU使用率高的時候，如果有CPU管理費用并將之用于系統，有助于緩解各種對性能的影響。

Breitenbach表示：“沒有哪一家客戶讓我們特別擔心。我們監控它們的服務器的各項指標，以確保它們不會長期處于任何性能(損失)的邊緣。……對于MSPs和沒有系統管理費用建議的公司，這可能是他們要關心的事情。”