인터넷에 연결되지 않은 서버에서 취약성 완화를 끄면 얼마나 위험할 수 있으며 어떤 성능 이점을 얻을 수 있습니까?

인터넷에 연결되지 않은 서버에서 취약성 완화를 끄면 얼마나 위험할 수 있으며 어떤 성능 이점을 얻을 수 있습니까?

가상 머신 Linux 호스트 서버가 인터넷에 연결되지 않고 LAN에서만 사용되고 Proxmox와 같이 비교적 잘 테스트된 배포판을 사용하는 경우 커널 인수를 통해 모든 취약성 완화를 끄는 것이 얼마나 위험합니까 mitigations=off?

또한 이러한 모든 완화 기능을 끄면 어떤 종류의 성능 향상을 볼 수 있는지 테스트한 사람이 있습니까?

최근 완화 조치로 인해 발생하는 큰 성과를 보았을 때 이것이 제게 질문이 되었습니다 retbleed.https://www.phoronix.com/review/retbleed-benchmark

이러한 사고 방식은 위의 커널 주장을 통해 또는 큰 영향을 미치는 완화를 개별적으로 해제하여 완화 전체 또는 일부를 제거하면 결과(악이든 긍정적이든)가 무엇일 수 있는지에 대한 호기심으로 확장되었습니다.

답변1

Linux 커널 플래그는 mitigations=[on|off]여기에 나열된 하드웨어 취약점에 대해 사용 가능한 모든 커널 완화를 쉽게 활성화/비활성화하는 단일 토글입니다.https://docs.kernel.org/admin-guide/hw-vuln/index.html

물론 그 영향은 전적으로 CPU에 달려 있습니다.

  • CPU가 알려진 취약점에 취약하지 않은 경우 적용할 수 있는 완화 방법이 없으며 영향은 사실상 0이 됩니다.

  • 귀하의 CPU가 일부에 취약한 경우(취약한 CPU도 있습니까?)모두그 중?) 영향은 특정 ​​취약점과 작업 부하에 따라 달라집니다.

위험 분석은 워크로드와 사용자 기반에 따라 달라집니다.

공용 VPS 공급자가 운영하는 가상화 호스트에서 게스트는 동료가 독점적으로 사용하는 내부 가상화 호스트에서 예상하는 것보다 악의적이거나 손상될 가능성이 점점 더 낮아졌습니다.

예를 들어 CI/CD 파이프라인 및 컴퓨팅 클러스터에 사용되는 가상화 호스트에서 모든 게스트는 수명이 짧고 신뢰할 수 있는 이미지에서 배포되며 최대 몇 시간 동안 실행된 다음 다시 제거됩니다. 여기서는 완화를 달성하고 비활성화할 수 있는 모든 성능이 필요합니다.

다른 공유 클러스터에서는 보다 전통적인 서버 통합 워크로드를 호스팅합니다. 거기에 배치된 게스트는 몇 시간 동안이 아니라 "영원히" 실행될 수 있습니다(그리고 그럴 가능성이 더 높습니다). 프로덕션 워크로드와 비프로덕션 워크로드가 혼합되어 있으며 게스트는 시스템과 애플리케이션을 패치하고 업데이트하는 데 부지런하지 않은 DevOps 팀에 의해 관리됩니다.
악의적이거나 손상된 게스트의 위험이 훨씬 더 높으며, 특정 워크로드에 대한 성능 저하가 허용 가능한 절충안이므로 완화가 활성화되고 게스트에 노출되는 CPU 플래그가 제한됩니다.

답변2

네트워크 외부에서 간접적으로도 서버에 연결하는 것이 실제로 불가능합니까?

그것이 당신이 스스로에게 물어봐야 할 첫 번째 질문입니다. 2개의 네트워크 연결이 있는 시스템에서 LAN에 액세스할 수 있는 경우, 하나는 해당 LAN에, 다른 하나는 인터넷에 연결된 다른 네트워크에 액세스할 수 있는 경우(여러 계층의 방화벽을 통해) 방금 해당 서버를 인터넷에 연결한 것입니다.

공격에 취약하기 위해 컴퓨터가 인터넷에 연결될 필요는 없다는 점을 기억하세요. 컴퓨터는 USB 스틱, 플로피 디스크를 통해 또는 터미널에 명령을 입력하여 컴퓨터를 손상시키려는 맬웨어에 감염될 수 있습니다.

결국 모든 성능 향상과 마찬가지로 모든 보안은 절충안입니다. 획득한 보상에 대해 허용 가능한 위험 수준은 얼마입니까?

잠재적인 성능 향상을 알아보려면 네트워크 연결이 전혀 없는 동안 머신에서 테스트를 실행하고 직접 확인하십시오. 그다지 많지 않을 가능성이 높지만, 일부 오래된 하드웨어가 조금 더 오래 생존하는 데 도움이 되는 몇 가지 추가 CPU 주기를 짜내는 것만으로도 충분할 수 있으므로 상위 경영진에게 실제로 그렇게 해야 한다고 설득할 시간이 있습니다. 새 서버에 대한 예산을 확보하세요.

답변3

"...LAN에서만 사용되며 Proxmox와 같이 상대적으로 잘 테스트된 배포판을 사용하고 있습니다. 커널 인수 mitigations=off를 통해 모든 취약점 완화를 끄는 것이 얼마나 위험합니까?"
...
"이러한 사고 방식은 위의 커널 주장을 통해 또는 큰 영향을 미치는 완화를 개별적으로 꺼서 전체 또는 일부 완화를 제거하는 결과(악이든 긍정적이든)가 무엇일 수 있는지에 대한 호기심으로 확장되었습니다."

여전히 책임을 고려하고 소수의 문제라도 수리하는 데 더 많은 시간을 할애할 수 있습니다.

즉, 대부분의 완화 기능은 이미 최신 CPU에 적용되어 있습니다. 따라서 이 기능을 끄면 최신 시스템에서 성능이 거의 또는 약간 손실됩니다. 예, 일반적으로 완화 기능을 끄면 속도가 느려집니다. 하지만 다른 벤치마크와 마찬가지로 예외도 있습니다.

"... 이러한 완화 기능을 모두 끄면 어떤 종류의 성능 향상을 볼 수 있습니까?"

Phoronix의 Michael Larabel은 다음과 같이 말합니다.

2022년 12월 7일자 기사에서:"Intel Raptor Lake 완화 영향 성능 비교":

"... 대부분의 경우 Raptor Lake와 관련된 소프트웨어 관련 완화 기능은 성능에 큰 차이 없이 그대로 둘 수 있습니다."

2022년 9월 30일자 기사에서:"AMD Zen 4를 사용하면 놀랍게도 CPU 보안 완화를 비활성화할 가치가 없습니다.":

"... 수행된 190개의 다양한 벤치마크에 대해 기본 완화를 유지하는 것이 완화=꺼짐으로 실행하는 것보다 전반적으로 약 3% 더 빨랐습니다. 기본적으로 다른 이전 프로세서에서 일반적으로 볼 수 있는 것과 반대입니다."

구형 시스템의 경우 불만을 품은 직원이 자신의 권한을 높이거나 퇴사하기 전에 LAN을 손상시킬 수 있다는 점을 고려해야 합니다. 그들의 불만 중 일부는 그들이 당신에게 불리하게 사용하는 구식 장비로 인해 발생할 수 있습니다. 또한 테더링된 휴대폰은 "인터넷에 연결되지 않는" 가정을 깨고 휴대폰을 충전하고 악성 앱을 실행하거나 신중하게 제작된 이메일을 열면 존재하는 취약점만 악용할 수 있습니다.

관련 정보