AWS
Azure
Security
gcp

3大クラウドのCPU脆弱性(Meltdown/Spectre)対応状況メモ

AWS

1/11 Amazon Web Services ブログに下記の日本語訳版が投稿されました。
プロセッサの投機的実行に関する公開調査について
https://aws.amazon.com/jp/blogs/news/processor_speculative_execution_research_disclosure/


Processor Speculative Execution Research Disclosure
https://aws.amazon.com/jp/security/security-bulletins/AWS-2018-013/

すでに脆弱性から保護された状態にある。
圧倒的多数のEC2で有意義なパフォーマンスへの影響も見られなかったとしている。

ただし、保護強化のため仮想マシンOSレベルでも顧客自身でパッチを適用することを推奨している。

Amazon Linux については既に更新されたカーネルが提供されており、2018年1月3日午後10時45分(GMT)以降にデフォルトの構成で起動されたEC2インスタンスにはこの更新が含まれる。
既存のインスタンスはyumのupdate kernelと仮想マシンの再起動が必要。

Windows向けには更新済みのAMIがリリースされた。
必要なパッチがインストールされ、レジストリキーが有効になっている状態。
既存のインスタンスに関してはWindows Updateによる更新またはセキュリティ更新プログラムの個別インストールが必要

1/9の更新ではOSのパッチに関する継続的な調査と分析の結果、準仮想化(PV)方式のインスタンスでは問題への保護が不十分であるとして、HVM方式への移行を強く推奨している。

ECS向けにも 更新が含まれたAmazon ECS Optimized AMI 2017.09.eがリリースされている。

Beanstalkも全てのLinuxベースのプラットフォームが更新されている
マネージドプラットフォーム更新を設定している環境ではメンテナンスウインドウの中で自動的に更新される。
Windwosプラットフォームの更新は1/9時点で提供されていないが、顧客自身でEC2のセキュリティ更新プログラムをインストールすることは可能。

Release: AWS Elastic Beanstalk Linux-based platform security updates on January 6, 2018
https://aws.amazon.com/jp/releasenotes/release-aws-elastic-beanstalk-linux-based-platform-security-updates-on-january-6-2018/

Azure

脆弱性情報の公開により、1/9までの予定だったセルフメンテナンス期間が前倒しされ、米国時間の1/3 15:30から順次VMの自動再起動が行われた。

Securing Azure customers from CPU vulnerability
https://azure.microsoft.com/ja-jp/blog/securing-azure-customers-from-cpu-vulnerability/

パフォーマンスに大きな影響を与えないとしているが、影響を受けた場合はAccelerated Networkingを使用することで対処することができる

Create a Linux virtual machine with Accelerated Networking
https://docs.microsoft.com/en-us/azure/virtual-network/create-vm-accelerated-networking-cli

またAzure はハイパーバイザー層で脆弱性に対応しているので、仮想マシンOSレベルでの対処は不要とある
ただし、本脆弱性に関わらず、セキュリティのベスト・プラクティスとしてVMのアップデートは常に行うことを推奨している

Accelerated maintenance frequently asked questions
https://docs.microsoft.com/en-us/azure/virtual-machines/windows/accelerated-maintenance

GCP

Google Compute Engineのインフラストラクチャに対してはすでにパッチを適用済み。

Google’s Mitigations Against CPU Speculative Execution Attack Methods
https://support.google.com/faqs/answer/7622138

GCPに関しては、ライブマイグレーション技術により、ホストマシン側のメンテナンスによる
ユーザ側の作業(仮想マシンの再起動)が不要というのがAWS/Azureとは異なる点。
(AWS同様に仮想マシンレベルのパッチ適用/再起動は推奨されている)

ライブ マイグレーションを使い、Google Compute Engine にダウンタイムのないサービス インフラストラクチャーを
https://cloudplatform-jp.googleblog.com/2015/03/google-compute-engine.html

追記分

まとめサイト
Meltdown and Spectre
https://spectreattack.com/

IBM Cloud

2018年1月5日から2018年1月8日までに世界中のクラウドホストにパッチを適用。
ベアメタルサーバーはファームウェアのアップデートとOSのアップデートが必要。
更新可能になり次第通知される。

We’re taking action to secure our cloud against recent security vulnerabilities
https://www.ibm.com/blogs/bluemix/2018/01/ibm-cloud-spectre-meltdown-vulnerabilities/

さくらインターネット

【重要】MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について
https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1832

IDC フロンティア

仮想マシン収容ホストのパッチ適用の全作業は以下日程を予定しています。
1月5日(金) 19時00分 から 1月10日(水) 22時00分 まで

MeltdownおよびSpectre脆弱性への対応ついて
https://www.idcf.jp/topics/20180105001.html