信息化觀察網(wǎng)

在多年來(lái)最大的一次計(jì)算漏洞事件被披露之后，事實(shí)證明我們的云計(jì)算使用情況完全不會(huì)受到太大的影響。

公共云計(jì)算可能是Spectre和Meltdown芯片漏洞事件中最危險(xiǎn)的架構(gòu)。但是，至少在打過(guò)最初的補(bǔ)丁之后，對(duì)這些平臺(tái)的安全性和運(yùn)行性能的影響似乎并沒(méi)有如預(yù)測(cè)般的那么可怕。

許多行業(yè)觀察家擔(dān)心，這些芯片級(jí)漏洞可能會(huì)使多租戶的公共云計(jì)算模式成為黑客訪問(wèn)同一共享主機(jī)上其他用戶帳戶數(shù)據(jù)的一個(gè)惹眼目標(biāo)。但是主要云計(jì)算供應(yīng)商們的及時(shí)響應(yīng)——某些情況下是幾個(gè)月的周期——已經(jīng)極大地解決了這些問(wèn)題。

客戶們還必須更新這些位于云端的系統(tǒng)。但是通過(guò)使用這些底層的補(bǔ)丁程序，云計(jì)算環(huán)境已經(jīng)很好地消除了用戶們最初對(duì)于數(shù)據(jù)被竊的擔(dān)憂。與擁有自有數(shù)據(jù)中心和需要對(duì)其硬件、微代碼、管理程序以及可能的管理實(shí)例進(jìn)行升級(jí)更新的企業(yè)用戶相比，云計(jì)算用戶所需做的工作要少得多。

“天畢竟沒(méi)有塌，請(qǐng)放輕松，”Forrester 研究公司的分析師Gardner說(shuō)。“它們可能是我們最近一段時(shí)間內(nèi)看到的最重要的CPU缺陷問(wèn)題，但是臨時(shí)性解決方案可以有助于緩解這一問(wèn)題帶來(lái)的影響，而芯片制造商已經(jīng)在致力于長(zhǎng)期解決方案的開(kāi)發(fā)。”

從某種程度上說(shuō)，供應(yīng)商們對(duì)于在Meltdown和Spectre漏洞上安裝補(bǔ)丁的快速響應(yīng)也說(shuō)明了他們中心化與自動(dòng)化所達(dá)到的高度。

“與硬件供應(yīng)商和諸如Linux這樣的開(kāi)源項(xiàng)目不同，我們沒(méi)有辦法做到以與他們一樣的速度來(lái)完成對(duì)項(xiàng)目進(jìn)行打補(bǔ)丁，”總部位于波士頓的云計(jì)算托管服務(wù)供應(yīng)商CloudHealth的創(chuàng)始人兼CTO Joe Kinsella說(shuō)。“最終結(jié)果是證明了實(shí)際應(yīng)對(duì)問(wèn)題的中心化能力。”

安全專(zhuān)家表示，目前還沒(méi)有發(fā)現(xiàn)任何已知的Meltdown和雙向Spectre漏洞的破解方法。據(jù)安全專(zhuān)家稱，通過(guò)這些漏洞(特別是Spectre)實(shí)施的黑客攻擊已經(jīng)超越了普通黑客的能力范圍，他們更可能找到了一條阻力更小的攻擊路徑。

事實(shí)上，迄今為止Meltdown和Spectre漏洞的真正影響來(lái)自于打補(bǔ)丁過(guò)程本身。特別是微軟公司在發(fā)布Meltdown和Spectre報(bào)告之后和解除封鎖之前因?qū)ζ銩zure客戶實(shí)施強(qiáng)制性的不定期重啟而著實(shí)惹惱了他們。谷歌則表示，它可通過(guò)實(shí)施遷移所有客戶來(lái)避免重啟。

雖然亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)、微軟、谷歌以及其他云計(jì)算平臺(tái)在解決這個(gè)問(wèn)題上都不聲不響地、不同程度地走在了前面，但一些小型云計(jì)算企業(yè)則被炒得沸沸揚(yáng)揚(yáng)。

AMD 和英特爾已經(jīng)致力于固件升級(jí)以進(jìn)一步緩解這個(gè)問(wèn)題，但是這些早期版本的固件已經(jīng)引起了他們自己的問(wèn)題。據(jù)稱更新補(bǔ)丁程序即將推出，但目前還不清楚是否需要又一輪云計(jì)算供應(yīng)商的重啟高峰。

Meltdown和Spectre的最初補(bǔ)丁是臨時(shí)性措施——如果采用不依賴于預(yù)測(cè)執(zhí)行的方法(這是一個(gè)基于這些漏洞根源的優(yōu)化技術(shù))重新設(shè)計(jì)芯片，那么就有可能需要花費(fèi)數(shù)年時(shí)間。對(duì)這些芯片進(jìn)行任何根本性的重新設(shè)計(jì)都有可能最終讓云計(jì)算服務(wù)供應(yīng)商受益良多，因?yàn)樵朴?jì)算供應(yīng)商們可以比傳統(tǒng)企業(yè)更頻繁地更換硬件，從而更快地用上新的處理器。

這些漏洞可能會(huì)導(dǎo)致潛在用戶降低他們的云計(jì)算使用率或者在從他們自己的數(shù)據(jù)中心轉(zhuǎn)移出來(lái)之前執(zhí)行額外的盡職調(diào)查。在金融行業(yè)以及其他受到高度監(jiān)管的行業(yè)中，更是如此，這些行業(yè)目前只是剛剛開(kāi)始接納公共云計(jì)算的理念。

“如果你正在啟動(dòng)一個(gè)新項(xiàng)目，那么這就是一個(gè)現(xiàn)實(shí)的問(wèn)題，”總部位于佛羅里達(dá)州奧蘭多市的云計(jì)算托管供應(yīng)商的CEO Marty Puranik說(shuō)。“我無(wú)法想象一個(gè)首席風(fēng)險(xiǎn)官或首席安全官會(huì)說(shuō)，這對(duì)于我們未來(lái)將要做的事情是無(wú)關(guān)緊要的。”

性能問(wèn)題并不像初期預(yù)測(cè)的那么糟糕

Spectre和Meltdown 的另一個(gè)潛在影響是補(bǔ)丁程序?qū)⑷绾斡绊懶阅堋Ｗ畛醯念A(yù)測(cè)是最高達(dá)到三成的性能降低，受到影響的客戶上網(wǎng)報(bào)告的問(wèn)題將主要還是性能問(wèn)題。但是，云計(jì)算供應(yīng)商們已經(jīng)推翻了這些預(yù)測(cè)，代表客戶監(jiān)管數(shù)千臺(tái)服務(wù)器的多家托管服務(wù)供應(yīng)商均表示絕大多數(shù)的工作負(fù)載并未受到影響。

雖然性能是否會(huì)隨著時(shí)間推移而出現(xiàn)問(wèn)題還有待進(jìn)一步觀察，但是IT專(zhuān)家們似乎也認(rèn)同了供應(yīng)商們的說(shuō)法。超過(guò)十多個(gè)消息渠道(其中大部分人出于這個(gè)問(wèn)題的敏感性和易變性方面的考慮而要求匿名)向SearchCloudComputing表示，他們幾乎感受不到這些補(bǔ)丁程序帶來(lái)性能方面的影響。

Kinsella表示，實(shí)際情況是受影響系統(tǒng)的數(shù)量是相當(dāng)有限的，且其性能受影響的表現(xiàn)也是相當(dāng)不穩(wěn)定的。“如果補(bǔ)丁的影響有30%，那么我認(rèn)為我們一定不會(huì)像現(xiàn)在這么處之泰然，因?yàn)檫@就好像逆向遵循摩爾定律回到了多年前，”他說(shuō)。

總部設(shè)在舊金山的Zendesk公司技術(shù)運(yùn)營(yíng)副總裁Steve Loyd表示，隨著2017年底AWS發(fā)出多次重啟通知以來(lái)，其云計(jì)算平臺(tái)運(yùn)行表現(xiàn)有所變化。這些重啟并不受到客戶歡迎，但也確實(shí)優(yōu)于替代方案，同時(shí)截至目前公司還沒(méi)有在補(bǔ)丁測(cè)試過(guò)程中發(fā)現(xiàn)任何較大的影響，他說(shuō)。

谷歌表示沒(méi)有收到任何其云計(jì)算客戶受到顯著影響的報(bào)告，而微軟與AWS最初曾表示他們預(yù)期會(huì)有少部分客戶能夠察覺(jué)出性能下降。目前還不清楚微軟是如何為那些客戶緩解這些問(wèn)題所帶來(lái)的負(fù)面影響，但是公司建議用戶使用速度更快的網(wǎng)絡(luò)服務(wù)。AWS在一份聲明中表示，自從安裝補(bǔ)丁程序以來(lái)，他們一直致力于幫助受影響用戶進(jìn)行工作負(fù)載優(yōu)化，并且“有計(jì)劃在任何情況下都能防止用戶的云計(jì)算成本發(fā)生重大變化”。

除了這些對(duì)云計(jì)算使用的微不足道影響以外，最大的潛在影響是所有擴(kuò)展使用操作系統(tǒng)內(nèi)核的應(yīng)用，例如分布式數(shù)據(jù)庫(kù)或緩存系統(tǒng)等。當(dāng)然，內(nèi)部的同一類(lèi)型工作負(fù)載也可能面臨著相同的問(wèn)題，但即便是一個(gè)小小的影響也會(huì)造成大大的后果。

“如果任何一個(gè)單一系統(tǒng)受到的影響不超過(guò)1%，那么其后果是可以忽略不計(jì)的，”總部位于波士頓的混合云計(jì)算管理供應(yīng)商Trubonomic的首席宣導(dǎo)者Eric Wright說(shuō)。“但是，如果一共有100多個(gè)系統(tǒng)，那么就必須在工作負(fù)載上增加一個(gè)新的虛擬系統(tǒng)。所以，無(wú)論進(jìn)行怎樣的分割，總是會(huì)有一些影響的。”

云計(jì)算服務(wù)供應(yīng)商們也可能因?yàn)槎▋r(jià)計(jì)劃而受到客戶的青睞。一個(gè)擁有自有數(shù)據(jù)中心的企業(yè)可能會(huì)采用增加一些使用不足的服務(wù)器來(lái)解決這個(gè)問(wèn)題。但是，云計(jì)算供應(yīng)商是根據(jù)CPU資源來(lái)收費(fèi)的，運(yùn)行速度較慢的工作負(fù)載可能會(huì)產(chǎn)生更為明顯的影響，IDC分析師Pete Lindstrom說(shuō)。

“這可能比較主觀，但確實(shí)是安全專(zhuān)家工作的方式，”他說(shuō)。“說(shuō)真的，他們真正關(guān)心的問(wèn)題是這個(gè)月的賬單會(huì)是什么樣的，以及是否真的會(huì)有影響?”

性能影響的最大受益者可能是抽象服務(wù)，例如無(wú)服務(wù)器或平臺(tái)即服務(wù)產(chǎn)品。在這些應(yīng)用場(chǎng)景中，所有的補(bǔ)丁都由供應(yīng)商負(fù)責(zé)，分析人士認(rèn)為，對(duì)于客戶來(lái)說(shuō)，這些服務(wù)將不會(huì)有所改變。

一家新聞與社交媒體集成商ACI Information Group在亞馬遜機(jī)器鏡像和Docker鏡像的基礎(chǔ)上對(duì)其AWS彈性計(jì)算云實(shí)例打了補(bǔ)丁。截至目前，這家公司還沒(méi)有發(fā)現(xiàn)任何重大問(wèn)題，但是其員工確實(shí)注意到他們的無(wú)服務(wù)器工作負(fù)載不需要他們做出任何努力就能夠解決問(wèn)題，同時(shí)性能不受影響， ACI技術(shù)副總裁、TechTarget撰稿人Chris Moyer說(shuō)。

“目前，我們?cè)跓o(wú)服務(wù)器上部屬了約四成的工作負(fù)載，這對(duì)我們來(lái)說(shuō)也是一個(gè)巨大的勝利，這也是完全完成我們遷移工作的另一個(gè)原因，”他說(shuō)。