Заштита на инфраструктурата на neoCloud
Серизониот импакт на пропустите кај виртуелните околини, на што е базирана секоја Cloud околина и каде се хостирани податоци на различни корисници, нѐ принуди да ги имплементираме безбедносните закрпи за L1TF во најкраток можен рок. За заштита на инфраструктурата на neoCloud, потребно е да се надградат и ажурираат следните компоненти:
Надградба на System ROM
Согласно препораките од HPE, System ROM на серверите потребно е да се надгради на верзија понова од 2018.05.21
Надградба на vSphere виртуелната околина
Согласно безбедносните препораки од VMware искажани во VMSA-2018-0020, за vSphere 6.5, која е инсталирана на инфраструктурата на neoCloud, потребно е да се надгради vCenter Server на верзија 6.5u2c додека ESXi да се надгради со следните закрпи:
- ESXi650-201808401-BG
- ESXi650-201808402-BG
- ESXi650-201808403-BG
Со самата инсталација на закрпите, се овозможува заштита од Sequential-context attack vector. Дополнително, во ESXi оперативниот систем на серверот е овозможена напредната опција VMkernel.Boot.hyperthreadingMitigation со што се овозможува заштита од Concurrent-context attack vector.
Надградба на оперативните системи
Бидејќи со самата надградба на серверите и на виртуелната околина оневозможува паралелна работа на два логички процесори на едно hyperthreading јадро, оперативниот систем од една виртуелна машина неможе да пристапи до L1 Chache на друга виртуелна машина или на самиот хост. Затоа, надградбите на оперативните системи ќе се извршуваат во рамките на редовните 3 месечни надградби.
Заштита на клиентски виртуелни машини
Бидејќи со самата надградба на серверите и на виртуелната околина оневозможува паралелна работа на два логички процесори на едно hyperthreading јадро, оперативниот систем од една виртуелна машина неможе да пристапи до L1 Chache на друга виртуелна машина или на самиот хост. Сепак, Microsoft и Linux заедницата препорачуваат ажурирање на виртуелните машини, со што доаѓа и нашата препорака до корисниците да ги ажурираат своите виртуелни машини во neoCloud.
Преземени активности
20-23.08.2018
- Детално информирање за безбедносните пропусти, начините за напад, што е потребно за заштита и можни влијанија од заштитата
- Анализа на виртуелните околина за можно влијание на перформанси од надградба
- Припрема за надградба и детално планирање
- Надградба на System ROM на серверите во виртуелната околина за управување
- Надградба на VMware vCenter Server за виртуелната околина за управување
- Надградба на VMware vCenter Server за виртуелната околина за клиенти
- Ажурирање на VMware ESXi на серверите во виртуелната околина за управување
24-28.08.2018
- Верификација на извршените надградби
- Мониторинг на стабилност на околината
- Мониторинг за влијание на перформанси
29-31.08.2018
- Надградба на System ROM на серверите во виртуелната околина за клиент
- Ажурирање на VMware ESXi на серверите во виртуелната околина за клиенти
- Верификација на извршените надградби
- Мониторинг на стабилност на околината
Надворешни линкови
HPE https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbhf03874en_us
VMware https://kb.vmware.com/s/article/55636
Microsoft https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180018