Zranitelnosti Meltdown a Spectre připravily provozovatelům serverů a datových center v Česku poměrně divoký začátek roku. Nasazují záplaty, odhadují dopady, náklady a komunikují se zákazníky. „Leden je měsíc, kdy se prostě restartuje internet,“ říká s nadsázkou šéf VSHostingu Damir Špoljarič.
To, jak moc práce a peněz updatování infrastruktury spolyká, tuzemští provozovatelé ještě neumí úplně odhadnout. „Odhadem lze mluvit i o několika stovkách hodin práce na updatech. Aktualizujeme tisíce serverů ručně. Musí se aktualizovat kernel a oproti běžným minor updatům, které se automaticky provádí denně, servery restartovat. Když sleduji třeba OVH, nejsou na tom o moc jinak,“ navazuje Špoljarič s tím, že se v jeho firmě těmto aktivitám věnuje až osm lidí.
TIP – detailněji o zranitelnostech píše server Root.cz: V čem spočívají Meltdown a Spectre? Zneužívají optimalizací procesorů
Rutinní práce
České Radiokomunikace, které provozují vlastní cloudy a datové centrum Tower na Žižkově, mluví trochu mírněji. „Samotné nasazení patchů se nelišilo od jindy prováděných minor-upgradů. Pro práci se systémovými profily využíváme nástroje usnadňující správu, daná operace byla prováděna rutinně a bez větší pracnosti. Vlivem této situace také uvažujeme o větší diverzifikaci infrastruktury do budoucna,“ uvádí produktový manažer Radiokomunikací Marek Erneker.
Podobně mluví také brněnský Master Internet, který provozuje datacentra v Praze a Brně: „Pro cloud aplikujeme patche, které například VMware vydal skoro hned. Tyto záplaty aplikují administrátoři Masteru v rámci standardních upgrade cyklů. Nepředstavují tak pro nás nějaké zvýšené náklady, neboť v rámci standardní údržby probíhají automatizovaně a bez výpadků. Těm zákazníkům, jejichž servery nespravujeme, jsme doporučili řídit se pokyny výrobců operačních systémů.“
„Veškeré virtualizační platformy, hypervisory a operační systémy, firmware/BIOSy, jichž se slabiny mohou týkat, jsou v rámci námi poskytovaných služeb pravidelně aktualizovány. V případě aplikace bezpečnostních záplat na slabiny Meltdown a Spectre čekáme na vydání opravných balíčků, které budou po řádném otestování v testovacím prostředí řízeně implementovány do produkce. Pro platformu Microsoft již opravné balíčky existují, stejně tak i nejnovější BIOSy pro servery Hewlett Packard Enterprise, kde je problém odstraněn na straně mikrokódu v procesoru. I tyto bezpečnostní záplaty aktuálně testujeme a následně naimplementujeme do produkčního prostředí,“ dodává pak technický ředitel firmy DataSpring David Lukeš.
Bez zásadního poklesu výkonu
Otázkou je také to, jaké reálné dopady budou mít záplaty Spectre a Meltdown na výkon procesorů a serverů. „První nasazené patche nevykazují žádný viditelný pokles výkonu, ale je ještě brzy na celkové hodnocení,“ míní technický ředitel Seznamu Vlastimil Pečínka. „Situace, kterou Spectre a Meltdown způsobily, se dotkne zejména práce bezpečnostních týmu a adminů (v analytické rovině) a následně všech admin týmů pracujících v provozu při rutinním procesu výměny kernelu,“ dodává.
Přidává se i Master Internet. „Výkon průběžně monitorujeme a byť očekáváme jeho degradaci, prozatím žádný dramatický propad nepozorujeme,“ uvádí firma.
Některé odhady mluví o tom, že by zranitelnosti mohly ovlivnit výkon procesorů až o 30 procent. Pokud by se něco takového v praxi skutečně potvrdilo, mohlo by to podle Radka Majera ze společnosti TTC, která provozuje dvě datacentra v Praze, znamenat i vyšší potřebu kolokačních ploch, protože by bylo potřeba i větší množství strojů.
„První odhady mluví o tom, že to může znamenat narůst plochy až o 20 procent. Ale to je jen zběžná úvaha, realita asi bude někde jinde a teprve se ukáže,“ zamýšlí se Majer.
Spíše jednotky procent
První reálné testy ukazují, že dopady na výkon mohou být spíše v jednotkách procent. Je zde i další věc – servery obecně často nemusí jet na maximální výkon a mají výkonnostní rezervy. Podobné je to také se zaplněností zdejších datacenter. Okamžitá potřeba nových kolokačních prostor by tak neměla být na pořadu dne.
Provozovatel cloudových služeb G2 server postupně s partnery instaluje záplaty. Společně s nasazováním do ostrého provozu každopádně raději preventivně navyšuje hardwarový výkon svého veřejného cloudu.
„Tyto zranitelnosti jsou obecně významným problémem pro virtualizovanou infrastrukturu. Celá naše infrastruktura je budována s důrazem na vysoký výkon a tyto bugy tedy mají vliv i na naše služby – chyby se týkají i námi využívaných procesorů. Z tohoto důvodu jsme do infrastruktury nasadili patche implementující KPTI. Velkou výhodou je ve vší podstatě fakt, že tyto patche všichni námi využívaní dodavatelé již měli připravené a jejich nasazení bylo tedy relativně jednoduchou procedurou. Máme také připravený postup, který nám pomůže zohlednit dopady na výkon infrastruktury,“ dodává Erneker z ČRa.