Il patching di un livello superiore proteggerà dalla vulnerabilità spettro / fusione in un livello inferiore?

Naviga le tue risposte
4

La domanda che sto per porre è simile alla seguente domanda:

Devo patchare Linux per Meltdown / Spectre se l'hypervisor è stato riparato e mi fido dell'ospite?

Tuttavia, vorrei portare la domanda un po 'più in profondità o un po' più a fondo.

Considera il seguente ambiente, in cui un livello di virtualizzazione UCS, ospita istanze VMware ESXi, che a loro volta ospiteranno Windows, Linux e altri sistemi operativi, quale layer dovrei proteggere per proteggere i livelli sottostanti? 

-> Hardware
   -> CPU
   -> RAM
   -> Mainboard
   -> Storage
      -> Operating System (UCS Management)
         -> partitioned "hardware" servers 
            -> physical CPUs
            -> physical RAM
            -> Storage
               -> OS of VMware ESXi Hosts
                  -> partitioned "virtual" servers
                     -> virtual CPUs
                     -> virtual RAM
                     -> Storage
                        -> OS of virtual Windows Server
                           -> Microsoft Hypervisor
                              -> virtual CPUs
                              -> virtual RAM
                              -> Storage
                                 -> OS of Microsoft Hypervisor Server/Client
                           -> Microsoft SQL Server
                              -> SQL Server OS (yes, SQL Server has its own OS)

Visto che i vari fornitori stanno fornendo patch per i vari livelli (VMware, Microsoft OS, Microsoft SQL Server), per me sarà sufficiente applicare patch, solo il primo livello "fisico" più alto possibile (sistema operativo UCS) ) per garantire che i livelli sottostanti non saranno più interessati dalla vulnerabilità?

L'idea alla base di questa domanda è di ridurre al minimo la possibile quantità di patch che dovrebbero essere implementate per proteggere i livelli sottostanti.

Quanto devo aggiustare?

    
posta hot2use 10.01.2018 - 13:38
fonte

2 risposte

1

Per Meltdown è necessario applicare patch alle VM guest mentre la patch è nel kernel. Quindi hai bisogno che i kernel degli ospiti siano aggiornati.

Per Spectre, le patch sono nel microcodice della CPU, quindi devono essere caricate sul sistema host. Penso che vmware li abbia già, ma gli attuali aggiornamenti del microcode non hanno ancora correzioni per tutte le CPU, quindi ci sarà un altro aggiornamento entro la fine di gennaio.

    
risposta data 10.01.2018 - 14:42
fonte
1

Sì, no e forse. Ci sono due vulnerabilità qui:

  1. Meltdown. In un sistema senza patch, un utente malintenzionato può accedere a qualsiasi memoria a cui il kernel può accedere, e solo a quella memoria. Ad esempio, un utente malintenzionato sul livello UCS può accedere a tutto attaccando il kernel UCS; un utente malintenzionato sul livello SQL Server può solo attaccare quei pezzi a cui SQL Server può accedere. L'applicazione di patch a un determinato livello protegge solo quel livello, quindi una patch di livello UCS non manterrà un utente malintenzionato a livello di SQL Server dalla lettura della memoria del sistema operativo SQL Server.

    Perché un attacco di Meltdown non può raggiungere la virtualizzazione (ma può arrivare al di fuori dei contenitori, sandboxing e paravirtualizzazione), hai già una certa protezione solo con i tuoi livelli.

  2. Spectre. Spectre non è tanto una vulnerabilità quanto una grande famiglia di vulnerabilità. Per questo motivo ci sono molte patch parziali che risolvono vari aspetti di esso; non può esserci una patch universale per "aggiustare tutto" (eccetto forse un aggiornamento del microcode che uccide le prestazioni che disabilita il predittore del ramo).

    A differenza di Meltdown, Spectre può raggiungere al di fuori della virtualizzazione: un l'attaccante a livello di SQL Server può (con molta difficoltà) eseguire un attacco al livello UCS. Ogni livello di patch si proteggerà da solo e alcune patch (come l'aggiornamento del microcode IBRS / IBPB di Intel) renderanno gli attacchi più difficili su tutti i livelli. La tua configurazione ti offre tuttavia una protezione intrinseca: Spectre può raggiungere solo le CPU virtuali, non quelle fisiche.

risposta data 16.01.2018 - 22:39
fonte

Leggi altre domande sui tag

Affidatevi ai vincoli dei nomi o alla valutazione intermedia della CA? Il mio ISP ospita malware o ha subito un'acquisizione di sottodomini, oppure il mio router è stato compromesso?