芯片問(wèn)題對(duì)云計(jì)算應(yīng)用的影響低于事先預(yù)期
在多年來(lái)最大的一次計(jì)算漏洞事件被披露之后,事實(shí)證明我們的云計(jì)算使用情況完全不會(huì)受到太大的影響。
本文引用地址:http://butianyuan.cn/article/201801/374941.htm公共云計(jì)算可能是Spectre和Meltdown芯片漏洞事件中最危險(xiǎn)的架構(gòu)。但是,至少在打過(guò)最初的補(bǔ)丁之后,對(duì)這些平臺(tái)的安全性和運(yùn)行性能的影響似乎并沒(méi)有如預(yù)測(cè)般的那么可怕。
許多行業(yè)觀察家擔(dān)心,這些芯片級(jí)漏洞可能會(huì)使多租戶(hù)的公共云計(jì)算模式成為黑客訪問(wèn)同一共享主機(jī)上其他用戶(hù)帳戶(hù)數(shù)據(jù)的一個(gè)惹眼目標(biāo)。但是主要云計(jì)算供應(yīng)商們的及時(shí)響應(yīng)——某些情況下是幾個(gè)月的周期——已經(jīng)極大地解決了這些問(wèn)題。
客戶(hù)們還必須更新這些位于云端的系統(tǒng)。但是通過(guò)使用這些底層的補(bǔ)丁程序,云計(jì)算環(huán)境已經(jīng)很好地消除了用戶(hù)們最初對(duì)于數(shù)據(jù)被竊的擔(dān)憂(yōu)。與擁有自有數(shù)據(jù)中心和需要對(duì)其硬件、微代碼、管理程序以及可能的管理實(shí)例進(jìn)行升級(jí)更新的企業(yè)用戶(hù)相比,云計(jì)算用戶(hù)所需做的工作要少得多。
“天畢竟沒(méi)有塌,請(qǐng)放輕松,”Forrester 研究公司的分析師Gardner說(shuō)?!八鼈兛赡苁俏覀冏罱欢螘r(shí)間內(nèi)看到的最重要的CPU缺陷問(wèn)題,但是臨時(shí)性解決方案可以有助于緩解這一問(wèn)題帶來(lái)的影響,而芯片制造商已經(jīng)在致力于長(zhǎng)期解決方案的開(kāi)發(fā)?!?/p>
從某種程度上說(shuō),供應(yīng)商們對(duì)于在Meltdown和Spectre漏洞上安裝補(bǔ)丁的快速響應(yīng)也說(shuō)明了他們中心化與自動(dòng)化所達(dá)到的高度。
“與硬件供應(yīng)商和諸如Linux這樣的開(kāi)源項(xiàng)目不同,我們沒(méi)有辦法做到以與他們一樣的速度來(lái)完成對(duì)項(xiàng)目進(jìn)行打補(bǔ)丁,”總部位于波士頓的云計(jì)算托管服務(wù)供應(yīng)商CloudHealth的創(chuàng)始人兼CTO Joe Kinsella說(shuō)?!白罱K結(jié)果是證明了實(shí)際應(yīng)對(duì)問(wèn)題的中心化能力?!?/p>
安全專(zhuān)家表示,目前還沒(méi)有發(fā)現(xiàn)任何已知的Meltdown和雙向Spectre漏洞的破解方法。據(jù)安全專(zhuān)家稱(chēng),通過(guò)這些漏洞(特別是Spectre)實(shí)施的黑客攻擊已經(jīng)超越了普通黑客的能力范圍,他們更可能找到了一條阻力更小的攻擊路徑。
事實(shí)上,迄今為止Meltdown和Spectre漏洞的真正影響來(lái)自于打補(bǔ)丁過(guò)程本身。特別是微軟公司在發(fā)布Meltdown和Spectre報(bào)告之后和解除封鎖之前因?qū)ζ銩zure客戶(hù)實(shí)施強(qiáng)制性的不定期重啟而著實(shí)惹惱了他們。谷歌則表示,它可通過(guò)實(shí)施遷移所有客戶(hù)來(lái)避免重啟。
雖然亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)、微軟、谷歌以及其他云計(jì)算平臺(tái)在解決這個(gè)問(wèn)題上都不聲不響地、不同程度地走在了前面,但一些小型云計(jì)算企業(yè)則被炒得沸沸揚(yáng)揚(yáng)。
AMD 和英特爾已經(jīng)致力于固件升級(jí)以進(jìn)一步緩解這個(gè)問(wèn)題,但是這些早期版本的固件已經(jīng)引起了他們自己的問(wèn)題。據(jù)稱(chēng)更新補(bǔ)丁程序即將推出,但目前還不清楚是否需要又一輪云計(jì)算供應(yīng)商的重啟高峰。
Meltdown和Spectre的最初補(bǔ)丁是臨時(shí)性措施——如果采用不依賴(lài)于預(yù)測(cè)執(zhí)行的方法(這是一個(gè)基于這些漏洞根源的優(yōu)化技術(shù))重新設(shè)計(jì)芯片,那么就有可能需要花費(fèi)數(shù)年時(shí)間。對(duì)這些芯片進(jìn)行任何根本性的重新設(shè)計(jì)都有可能最終讓云計(jì)算服務(wù)供應(yīng)商受益良多,因?yàn)樵朴?jì)算供應(yīng)商們可以比傳統(tǒng)企業(yè)更頻繁地更換硬件,從而更快地用上新的處理器。
這些漏洞可能會(huì)導(dǎo)致潛在用戶(hù)降低他們的云計(jì)算使用率或者在從他們自己的數(shù)據(jù)中心轉(zhuǎn)移出來(lái)之前執(zhí)行額外的盡職調(diào)查。在金融行業(yè)以及其他受到高度監(jiān)管的行業(yè)中,更是如此,這些行業(yè)目前只是剛剛開(kāi)始接納公共云計(jì)算的理念。
“如果你正在啟動(dòng)一個(gè)新項(xiàng)目,那么這就是一個(gè)現(xiàn)實(shí)的問(wèn)題,”總部位于佛羅里達(dá)州奧蘭多市的云計(jì)算托管供應(yīng)商的CEO Marty Puranik說(shuō)。“我無(wú)法想象一個(gè)首席風(fēng)險(xiǎn)官或首席安全官會(huì)說(shuō),這對(duì)于我們未來(lái)將要做的事情是無(wú)關(guān)緊要的?!?/p>
性能問(wèn)題并不像初期預(yù)測(cè)的那么糟糕
Spectre和Meltdown 的另一個(gè)潛在影響是補(bǔ)丁程序?qū)⑷绾斡绊懶阅堋W畛醯念A(yù)測(cè)是最高達(dá)到三成的性能降低,受到影響的客戶(hù)上網(wǎng)報(bào)告的問(wèn)題將主要還是性能問(wèn)題。但是,云計(jì)算供應(yīng)商們已經(jīng)推翻了這些預(yù)測(cè),代表客戶(hù)監(jiān)管數(shù)千臺(tái)服務(wù)器的多家托管服務(wù)供應(yīng)商均表示絕大多數(shù)的工作負(fù)載并未受到影響。
雖然性能是否會(huì)隨著時(shí)間推移而出現(xiàn)問(wèn)題還有待進(jìn)一步觀察,但是IT專(zhuān)家們似乎也認(rèn)同了供應(yīng)商們的說(shuō)法。超過(guò)十多個(gè)消息渠道(其中大部分人出于這個(gè)問(wèn)題的敏感性和易變性方面的考慮而要求匿名)向SearchCloudComputing表示,他們幾乎感受不到這些補(bǔ)丁程序帶來(lái)性能方面的影響。
Kinsella表示,實(shí)際情況是受影響系統(tǒng)的數(shù)量是相當(dāng)有限的,且其性能受影響的表現(xiàn)也是相當(dāng)不穩(wěn)定的。“如果補(bǔ)丁的影響有30%,那么我認(rèn)為我們一定不會(huì)像現(xiàn)在這么處之泰然,因?yàn)檫@就好像逆向遵循摩爾定律回到了多年前,”他說(shuō)。
總部設(shè)在舊金山的Zendesk公司技術(shù)運(yùn)營(yíng)副總裁Steve Loyd表示,隨著2017年底AWS發(fā)出多次重啟通知以來(lái),其云計(jì)算平臺(tái)運(yùn)行表現(xiàn)有所變化。這些重啟并不受到客戶(hù)歡迎,但也確實(shí)優(yōu)于替代方案,同時(shí)截至目前公司還沒(méi)有在補(bǔ)丁測(cè)試過(guò)程中發(fā)現(xiàn)任何較大的影響,他說(shuō)。
谷歌表示沒(méi)有收到任何其云計(jì)算客戶(hù)受到顯著影響的報(bào)告,而微軟與AWS最初曾表示他們預(yù)期會(huì)有少部分客戶(hù)能夠察覺(jué)出性能下降。目前還不清楚微軟是如何為那些客戶(hù)緩解這些問(wèn)題所帶來(lái)的負(fù)面影響,但是公司建議用戶(hù)使用速度更快的網(wǎng)絡(luò)服務(wù)。AWS在一份聲明中表示,自從安裝補(bǔ)丁程序以來(lái),他們一直致力于幫助受影響用戶(hù)進(jìn)行工作負(fù)載優(yōu)化,并且“有計(jì)劃在任何情況下都能防止用戶(hù)的云計(jì)算成本發(fā)生重大變化”。
除了這些對(duì)云計(jì)算使用的微不足道影響以外,最大的潛在影響是所有擴(kuò)展使用操作系統(tǒng)內(nèi)核的應(yīng)用,例如分布式數(shù)據(jù)庫(kù)或緩存系統(tǒng)等。當(dāng)然,內(nèi)部的同一類(lèi)型工作負(fù)載也可能面臨著相同的問(wèn)題,但即便是一個(gè)小小的影響也會(huì)造成大大的后果。
“如果任何一個(gè)單一系統(tǒng)受到的影響不超過(guò)1%,那么其后果是可以忽略不計(jì)的,”總部位于波士頓的混合云計(jì)算管理供應(yīng)商Trubonomic的首席宣導(dǎo)者Eric Wright說(shuō)?!暗?,如果一共有100多個(gè)系統(tǒng),那么就必須在工作負(fù)載上增加一個(gè)新的虛擬系統(tǒng)。所以,無(wú)論進(jìn)行怎樣的分割,總是會(huì)有一些影響的?!?/p>
云計(jì)算服務(wù)供應(yīng)商們也可能因?yàn)槎▋r(jià)計(jì)劃而受到客戶(hù)的青睞。一個(gè)擁有自有數(shù)據(jù)中心的企業(yè)可能會(huì)采用增加一些使用不足的服務(wù)器來(lái)解決這個(gè)問(wèn)題。但是,云計(jì)算供應(yīng)商是根據(jù)CPU資源來(lái)收費(fèi)的,運(yùn)行速度較慢的工作負(fù)載可能會(huì)產(chǎn)生更為明顯的影響,IDC分析師Pete Lindstrom說(shuō)。
“這可能比較主觀,但確實(shí)是安全專(zhuān)家工作的方式,”他說(shuō)?!罢f(shuō)真的,他們真正關(guān)心的問(wèn)題是這個(gè)月的賬單會(huì)是什么樣的,以及是否真的會(huì)有影響?”
性能影響的最大受益者可能是抽象服務(wù),例如無(wú)服務(wù)器或平臺(tái)即服務(wù)產(chǎn)品。在這些應(yīng)用場(chǎng)景中,所有的補(bǔ)丁都由供應(yīng)商負(fù)責(zé),分析人士認(rèn)為,對(duì)于客戶(hù)來(lái)說(shuō),這些服務(wù)將不會(huì)有所改變。
一家新聞與社交媒體集成商ACI Information Group在亞馬遜機(jī)器鏡像和Docker鏡像的基礎(chǔ)上對(duì)其AWS彈性計(jì)算云實(shí)例打了補(bǔ)丁。截至目前,這家公司還沒(méi)有發(fā)現(xiàn)任何重大問(wèn)題,但是其員工確實(shí)注意到他們的無(wú)服務(wù)器工作負(fù)載不需要他們做出任何努力就能夠解決問(wèn)題,同時(shí)性能不受影響, ACI技術(shù)副總裁、TechTarget撰稿人Chris Moyer說(shuō)。
“目前,我們?cè)跓o(wú)服務(wù)器上部屬了約四成的工作負(fù)載,這對(duì)我們來(lái)說(shuō)也是一個(gè)巨大的勝利,這也是完全完成我們遷移工作的另一個(gè)原因,”他說(shuō)。
評(píng)論