Bir SQL Server DBA olarak erime / hayalet güvenlik açıkları hakkında bilmem gerekenler nelerdir?

14

Duymadıysanız, son on yılda satılan neredeyse tüm işlemcileri etkileyen bir dizi ilgili güvenlik açığı keşfedildi. Sen bulabilirsiniz InfoSec.SE üzerinde erime / spectre açıklarıyla ilgili daha fazla teknik detay .

Bir SQL Server DBA olarak, bu konuda ne anlamam gerekiyor?

SQL Sunucularımızı (veya vm çiftliklerimizi) diğer şirketlerle paylaşmazsak, bu hala bir risk midir?

Bu sadece bir işletim sistemi yaması olacak mı? Yoksa bu güvenlik açığını gidermek için gerekli olan SQL Server için düzeltme ekleri / düzeltmeler var mı? Hangi SQL Server sürümleri yamalanacak?

Bazı makaleler, özellikle yüksek derecede sanallaştırılmış ortamlarda% 5-30'luk bir performans etkisi öngörmektedir. SQL Server'larımın performans üzerindeki etkisini tahmin etmenin herhangi bir yolu var mı?

sql-server  patching 
BradC
kaynak

Yanıtlar:

14

İşte Microsoft'un üç "CVE" numarası atanmış güvenlik açıkları hakkındaki Güvenlik Danışmanlığı :

  • CVE-2017-5715 - Şube hedef enjeksiyonu ( "Spectre" )
  • CVE-2017-5753 - Sınır kontrol baypas ( "Spectre" )
  • CVE-2017-5754 - Rogue veri önbellek yükü ( "Meltdown" )

Bu güvenlik açıklarının SQL sunucusunu nasıl etkilediğine ilişkin Microsoft KB, yeni bilgiler kullanıma sunuldukça etkin olarak güncelleştirilmektedir:

KB 4073225: Spekülatif yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için SQL Server Kılavuzu .

Microsoft'un kesin önerisi yapılandırmanıza ve iş senaryosuna bağlı olacaktır, ayrıntılar için lütfen KB'ye bakın. Örneğin, Azure'da barındırıyorsanız, herhangi bir eylem gerekmez (ortam zaten yamalı). Bununla birlikte, uygulamaları potansiyel olarak güvenilmeyen koda sahip paylaşılan sanal veya fiziksel ortamlarda barındırıyorsanız, diğer azaltma işlemleri gerekebilir.

SQL düzeltme ekleri şu anda aşağıdaki etkilenen SQL sürümleri için kullanılabilir:

Bu SQL sunucu yamaları CVE 2017-5753'e karşı koruma sağlar ( Spectre: Bounds check bypass ).

CVE 2017-5754'e ( Erime : Rogue data cache load ) karşı korumak için Windows'ta (kayıt defteri değişikliği yoluyla) veya Linux Çekirdek Sayfa Tablosu Yalıtımı'nda Çekirdek Sanal Adres Gölgeleme'yi (KVAS) etkinleştirebilirsiniz. (KPTI) etkinleştirebilirsiniz. Linux distribütörü).

CVE 2017-5715'e ( Spectre: Branch target enjeksiyon ) karşı koruma sağlamak için , kayıt defteri değişikliği artı donanım üreticinizin ürün yazılımı güncellemesi yoluyla Şube Hedef Enjeksiyonu azaltma donanım desteğini (IBC) etkinleştirebilirsiniz .

KVAS, KPTI ve IBC'nin ortamınız için gerekli olmayabileceğini ve bunların en önemli performans etkisi olan değişiklikler olduğunu vurgulayın (benimkisi vurgulayın):

Microsoft, tüm müşterilere SQL Server ve Windows'un güncelleştirilmiş sürümlerini yüklemelerini önerir. Bu, SQL iş yüklerinin Microsoft testine dayalı olarak mevcut uygulamalara minimum performans etkisi göz ardı edilebilir olmalıdır, ancak bir üretim ortamına dağıtımdan önce doğrulamanızı öneririz.

Microsoft, Çekirdek Sanal Adres Gölgeleme (KVAS), Çekirdek Sayfa Tablosu İndirimi (KPTI) ve Şube Hedef Enjeksiyon Azaltımı'nın (IBC) çeşitli ortamlardaki çeşitli SQL iş yükleri üzerindeki etkisini ölçtü ve önemli ölçüde bozulma gösteren bazı iş yükleri buldu. Bir üretim ortamına dağıtımdan önce bu özelliklerin etkinleştirilmesinin performans etkisini doğrulamanızı öneririz. Bu özellikleri etkinleştirmenin performans etkisi mevcut bir uygulama için çok yüksekse, müşteriler SQL Server'ı aynı makinede çalışan güvenilir olmayan koddan izole etmenin uygulamaları için daha iyi bir azaltma olup olmadığını düşünebilir.

Microsoft System Center Configuration Manager'a (SCCM) özgü yönerge: 08 Ocak 2018'den itibaren spekülatif yürütme yan kanal güvenlik açıklarını azaltmak için ek kılavuz .

İlgili blog gönderileri:

Düşük
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.