Meltdown fix's 'massive overhead' vil bremse Linux-systemer, advarer Netflix-ingeniøren

Specter-Meltdown: Hvilken virksomhet trenger å vite TechRepublics Nick Heath forklarer hvordan Specter-Meltdown fungerer, hvem det påvirker, og hvordan virksomheten kan beskytte kritiske data mot utnyttelse.
Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • Endringer i Linux-kjernen for å dempe virkningen av Meltdown har vist seg å bremse systemer, på grunn av en ytelseskostnad på mellom 1% og 800%.
  • Ytelsen til systemer som bruker et stort antall syscalls eller har høye sidefeilfrekvenser er spesielt hardt påvirket.

En Netflix-ingeniør har advart om den potensielle "massive overhead" for å lappe Linux-baserte systemer mot Meltdown CPU-feilen.

Brendan Gregg fant at oppdateringer til Linux-kjernen for å dempe risikoen fra Meltdown lagt til mellom 1% og 800% overhead, avhengig av arbeidsmengden.

Meltdown og Specter er sårbarheter i moderne brikkedesign som kan tillate angripere å omgå systembeskyttelse på nesten hver nyere PC, server og smarttelefon, slik at hackere kan lese sensitiv informasjon, for eksempel passord, fra minnet.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Han beskrev virkningen av KPTI-korrigeringene (kernel page table isolation) som virker rundt Meltdown, og sa at de resulterte i de "største regresjonene for ytelse av kjernen jeg noensinne har sett".

"Hvor du er i det spekteret, avhenger av syscall- og sidefeilfrekvensene, på grunn av ekstra CPU-syklusoverheads, og minnets arbeidsinnstillingsstørrelse, på grunn av TLB-skylling av syscalls og kontekstbrytere, " skriver han og fortsetter med å vurdere sannsynlig innvirkning på Netflix AWS-baserte systemer.

"Rent praktisk, forventer jeg at skysystemene hos arbeidsgiveren min (Netflix) vil oppleve mellom 0, 1% og 6% overhead med KPTI på grunn av syscall-prisene våre, og regner med at vi tar det ned til under 2% med tuning ".

Alvorlighetsgraden av ytelseseffekten av KPTI-lappene bestemmes av:

Syscall rate : Virkningen klatrer med syscall rate, og Gregg estimerer til 50k syscalls / sek per prosessor overheaden kan være 2%.

Kontekstbrytere : Slagskalaen på lignende måte som syklusen.

Feilfrekvens for sider : Høye priser vil igjen legge til overhead.

Arbeidsinnstillingsstørrelse (hot data) : Mer enn 10MB vil bli overhead på grunn av TLB (oversettelse lookaside buffer) spyle - potensielt omdanne et 1% overhead til en 7% overhead.

Cache-tilgangsmønstre : En arbeidsmengde som bytter til tilgangsmønstre med mindre effektiv hurtigbufring, kan i verste fall ha en ytelse på 10%.

Effekten på ytelsen til KPTI-lappene etter hvert som antall syscalls øker.

Bilde: Brendan Gregg

For å redusere effekten av KPTI på Linux-baserte systemer, anbefaler Gregg en rekke tiltak: inkludert bruk av 4.14 med PCID-støtte, enorme sider (som også kan gi noen gevinster), og reduksjon av uttak, som han skisserer nærmere her.

Gregg la til at den faktiske ytelseseffekten av å beskytte Linux-baserte systemer mot Meltdown og Spectre ville være større, ettersom endringene til KPTI er del av en serie oppdateringer som beskytter mot sårbarhetene. Ved siden av disse har det vært Intel firmware-oppdateringer, hypervisor-endringer i skyleverandører og Retpoline-kompilatorendringer - alt dette vil sannsynligvis ha ytterligere innvirkning på ytelsen.

I hastverk med å utstede oppdateringer har det vært flere forekomster av Spectre- og Meltdown-relaterte oppdateringer som forårsaker problemer med ustabilitet og ytelse i datamaskiner - spesielt Intel firmware-oppdateringer for variant 2 av Specter-feilen.

Intel jobber med en ny design for prosessorene sine for å dempe trusselen fra sikkerhetsproblemene i Specter og Meltdown, ifølge administrerende direktør Brian Krzanich, og det samme er AMD for å redusere risikoen fra Spectre.

IBM har også gitt ut patcher for Meltdown og Specter for systemer som kjører på Power-familien av prosessorer. Utvalget av operativsystem- og firmwareoppdateringer er tilgjengelig via IBM, men på grunn av at Power4-, Power5- og Power6-serie-systemene ikke støttes, vil disse systemene ikke lappes av IBM.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

Les mer

  • Spectre-oppdatering: Ny Intel-oppdatering utgitt etter tidligere reparasjon forårsaket tilfeldige omstarter (TechRepublic)
  • Intel: Ikke installer Spectre-fiksen vår, risikoen for uønskede omstarter er for stor (TechRepublic)
  • Intel-brikker har kritisk designfeil, og ved å fikse det vil bremse Linux-, Mac- og Windows-systemer (TechRepublic)
  • 26% av organisasjonene har ennå ikke mottatt Windows Meltdown og Spectre-oppdateringer (TechRepublic)
  • Meltdown-Spectre: Flere virksomheter advarte mot å lappe om stabilitetsproblemer (ZDNet)
  • Intel stopper noen chip-lapper da fikseringen forårsaker problemer (CNET)
  • Spektakulær feil: Dell og HP trekker Intels buggy patch, nye BIOS-oppdateringer kommer (ZDNet)
  • Specter-Meltdown svikter: Intel advarer om at nye PC-er, servere også risikerer uventede omstarter (TechRepublic)
  • Denne falske Spectre / Meltdown-lappen vil infisere PCen din med malware (TechRepublic)
  • Spectre og Meltdown: Usikkerhet i hjertet av moderne CPU-design (ZDNet)
  • Hvordan beskytte deg mot Meltdown og Spectre CPU-feil (CNET)

© Copyright 2020 | mobilegn.com