Das sind die Folgen von Meltdown und Spectre

Die Rolle des Kunden

von - 23.04.2018
Cloud- und Rechenzentrumsbetreiber stehen in der Pflicht, ihre Infrastruktur so weit wie möglich zu schützen. „Die großen Cloud-Provider Amazon, Google und Microsoft haben be­reits bekannt gegeben, dass ihre Umgebungen vor Spectre und Meltdown sicher sind“, erklärt Bechtle-Consultant Kionga. „Bei anderen Cloud- und RZ-Betreibern sollten sich die Kunden aktiv über den Stand der Sicherheitsmaßnahmen in­formieren.“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Standard C5 einen Anforderungskatalog entwickelt, der ganz grundsätzlich aufzeigt, über welche Sicherheitseigenschaften ein Cloud-Dienst verfügen sollte. „Die Nutzung von Cloud-Diensten ist mit Risiken und Vorteilen verbunden, die vom jeweiligen Kunden geeignet gewichtet werden müssen“, erklärt ein Sprecher des BSI gegenüber com! professional, „er muss dazu eine entsprechende Risikoanalyse durchführen.“
Manfred Kessler
Manfred Kessler
CEO der Global Access Internet Services GmbH
Foto: Global Access Internet Services
„Die eingespielten Fixes der Hersteller führten … zu einem erhöhten personellen Aufwand unserer IT-Abteilung und zu einer Zunahme der Prozessorbelastung um zirka sieben Prozent.“
Da die Infrastrukturanbieter jedoch nur Angriffe zwischen virtuellen Maschinen absichern können, sind laut Kionga weitere Maßnahmen nötig: „Kunden müssen nach wie vor Hersteller-Patches bei ihren virtuellen Maschinen aufspielen, um Angriffe innerhalb der VM wirksam zu unterbinden.“ AWS empfiehlt Nutzern außerdem, von paravirtualisierten Instanzen (PV) auf HVMs (Hardware Virtual Machine) umzusteigen, um auch Prozesse, die innerhalb derselben Instanz laufen, wirkungsvoll gegeneinander absichern zu können. „Auch wenn unsere Hypervisor-Patches dafür sorgen, dass kein Speicher zwischen virtuellen Maschinen ausgelesen werden kann, sollten Kunden ihre Betriebssysteme patchen, um Angriffsszenarien abzudecken, bei denen Speicher zwischen Prozessen oder dem Kernel innerhalb ihrer Instanzen betroffen sein könnte“, rät der Cloud-Anbieter weiter.

Fazit

Die eigentlich bewährte Sicherheitsstrategie, Patches möglichst zeitnah einzuspielen, hat bei den Updates gegen Meltdown- und Spectre-Angriffe zum Teil zu erheblichen Problemen geführt. Dennoch bleibt Administratoren und IT-Verantwortlichen in Rechenzentren wohl gar nichts anderes übrig, als ihre Systeme immer auf dem neuesten Stand zu halten. Eine zweigleisige Strategie mit einem Failover-Konzept, bei dem zunächst nur ein Teil der Server gepatcht wird, kann die Folgen fehlerhafter Patches begrenzen.
Rechenzentrumsbetreiber sollten ihre Systeme außerdem lückenlos und in Echtzeit überwachen, um auf Probleme so schnell wie möglich reagieren zu können. Abwarten ist dagegen keine wirkliche Alternative. „Ein Ausfall von ein paar Systemen wiegt nicht so schwer, wie die Übernahme der gesamten IT Infrastruktur durch dritte unbefugte Personen“, so die Einschätzung von Thilo Langenhorst von Axians IT Solutions.
Auswirkungen der Patches

Anbieter / Produkt

Auswirkung

Global Access Internet Services / Global Access

Zunahme der Prozessorbelastung um circa 7 Prozent

Amazon Web Services / AWS

keine Leistungseinbußen bei der überwiegenden Mehrheit der EC2-Instanzen. In wenigen Fällen Abstürze oder unvorhergesehene Effekte

Epic Games / Fortnite

Zunahme der Prozessorbelastung um bis zu 30 Prozent, Login-Probleme, Ausfälle

Intel

Performance-Einbußen auf 2-Sockel-Xeon-Systemen (Skylake): je nach Last 0 bis 18 Prozent

Microsoft / Windows Server

„deutlicherer Performance-Einfluss (als bei Client-Systemen) bei I/O-intensiven Applikationen“

Datacom

Leistungsreduktion um 600.000 IOPS (100 % Read, 4 K Blockgröße)

Verwandte Themen