Sebagai SQL Server DBA, apa yang perlu saya ketahui tentang kerentanan krisis / momok?

14

Jika Anda tidak mendengar, serangkaian kerentanan terkait baru-baru ini ditemukan yang berdampak hampir semua prosesor terjual selama dekade terakhir. Anda dapat menemukan detail teknis lebih lanjut tentang kerentanan krisis / momok di InfoSec.SE .

Sebagai DBA SQL Server, apa yang perlu saya pahami tentang ini?

Jika kami tidak membagikan SQL Server kami (atau vm farms kami) dengan perusahaan lain, apakah ini masih berisiko?

Apakah ini hanya patch OS? Atau adakah perbaikan / perbaikan terbaru yang tersedia untuk SQL Server yang diperlukan untuk mengatasi kerentanan ini? Versi SQL Server mana yang akan ditambal?

Beberapa artikel memperkirakan dampak kinerja 5-30%, terutama di lingkungan yang sangat tervirtualisasi. Apakah ada cara untuk memprediksi apa dampak kinerja pada SQL Server saya?

BradC
sumber

Jawaban:

14

Berikut ini adalah Penasihat Keamanan Microsoft tentang kerentanan, yang telah menetapkan tiga nomor "CVE":

  • CVE-2017-5715 - Injeksi target cabang ( "Specter" )
  • CVE-2017-5753 - Bound check bypass ( "Specter" )
  • CVE-2017-5754 - Beban cache data jahat ( "Meltdown" )

Microsoft KB untuk bagaimana kerentanan ini berdampak pada server SQL sedang diperbarui secara aktif ketika informasi baru tersedia:

KB 4073225: Panduan SQL Server untuk melindungi terhadap kerentanan sisi-kanal eksekusi spekulatif .

Rekomendasi persis Microsoft akan tergantung pada konfigurasi dan skenario bisnis Anda, silakan merujuk ke KB untuk detailnya. Jika Anda hosting di Azure, misalnya, tidak diperlukan tindakan (lingkungan sudah ditambal). Namun, jika Anda meng-hosting aplikasi di lingkungan virtual atau fisik bersama dengan kode yang berpotensi tidak dipercaya, mitigasi lain mungkin diperlukan.

Patch SQL saat ini tersedia untuk versi SQL yang terkena dampak berikut:

Patch server SQL ini melindungi terhadap CVE 2017-5753 ( Spectre: Bounds check bypass ).

Untuk melindungi dari CVE 2017-5754 ( Meltdown: Rogue load data cache ), Anda dapat mengaktifkan Kernel Virtual Address Shadowing (KVAS) di Windows (melalui perubahan registri) atau Isolasi Halaman Tabel Kernel Linux (KPTI) di Linux (melalui patch dari komputer Anda) Distributor Linux).

Untuk melindungi dari CVE 2017-5715 ( Spectre: injeksi target Cabang ), Anda dapat mengaktifkan dukungan perangkat keras mitigasi Cabang Target (IBC) melalui perubahan registri ditambah pembaruan firmware dari produsen perangkat keras Anda.

Perhatikan bahwa KVAS, KPTI, dan IBC mungkin tidak diperlukan untuk lingkungan Anda, dan ini adalah perubahan dengan dampak kinerja paling signifikan (penekanan tambang):

Microsoft menyarankan semua pelanggan untuk menginstal versi terbaru dari SQL Server dan Windows. Ini harus memiliki dampak kinerja minimal yang dapat diabaikan untuk aplikasi yang ada berdasarkan pengujian Microsoft terhadap beban kerja SQL, namun, kami menyarankan Anda untuk memvalidasi sebelum menggunakan ke lingkungan produksi.

Microsoft telah mengukur dampak Kernel Virtual Address Shadowing (KVAS), Kirst Table Indirection (KPTI) dan Branch Target Injection Mitigation (IBC) pada berbagai beban kerja SQL di berbagai lingkungan dan menemukan beberapa beban kerja dengan degradasi yang signifikan. Kami menyarankan Anda untuk memvalidasi dampak kinerja dari mengaktifkan fitur-fitur ini sebelum menyebar ke lingkungan produksi. Jika dampak kinerja dari mengaktifkan fitur-fitur ini terlalu tinggi untuk aplikasi yang ada, pelanggan dapat mempertimbangkan apakah mengisolasi SQL Server dari kode yang tidak terpercaya yang berjalan pada mesin yang sama adalah mitigasi yang lebih baik untuk aplikasi mereka.


Panduan spesifik Microsoft System Center Configuration Manager (SCCM): Panduan tambahan untuk mengurangi kerentanan sisi saluran eksekusi spekulatif pada Januari 08 2018 .


Posting blog terkait:

LowlyDBA
sumber