[ETC] Intel CPUバグによる脆弱性について

 

年明け早々、厄介な脆弱性で盛り上がってます。:)

共通脆弱性識別子(CVE – Common Vulnerabilities and Exposures)として以下の脆弱性が公開されました。脆弱性の内容はCPUアーキテクチャ関連バグに関するものです。

 

CVE-2017-5753とCVE-2017-5715は別名”Spectre“、CVE-2017-5754は”Meltdown“という別名となっていて両方共に非常に深刻なバグのようです。

“Meltdown”は1995年以降リリースされたIntel CPUのすべての世代がバグの影響を受け、このバグによりカーメルメモリ情報が読み取れてしまうリスクがあるとのことです。カーネルメモリ情報に関連するため、アンチウィルスソフトアや暗号化でも防げないとのことです。(“Meltdown”はAMD社のCPUでは影響を受けないようです)

“Spectre”は任意のプログラムによりユーザプログラムのメモリ情報が読み取られてしまうバグとのことです。どっちも深刻ですが”Meltdown”の方がよりヤバそうです。

 

しかも上記2つのバグを修正するためのパッチが適用するとCPUのパフォーマンスが最大30%低下してしまう検証結果が報告され益々炎上しているようで、Intel社から本バグについて言及し’うちだけの問題じゃない、他社CPUでも起こりうる。修正パッチの影響もそんな大げさなことではない’としていますが事態は収まりそうもないようです。

 

リスクの対象が過去10年間リリースされたIntel CPUなため、その影響範囲は膨大でGoogle社やMicrosoft社、Amazon社、RedHat社などでは早速対応を公開しています。

 

VMware社も関連内容を公開し”Spectre”に対するパッチも公開しましたが”Meltdown”については以下のようなコメントのみ、パッチはありませんでした。

A third issue due to speculative execution, Rogue Data Cache Load (CVE-2017-5754), was disclosed along the other two issues. It does not affect ESXi, Workstation, and Fusion because ESXi does not run untrusted user mode code, and Workstation and Fusion rely on the protection that the underlying operating system provides.

ESXiは未信頼ユーザモードのコードを実行しないし、WorkstationとFusionはOSが提供する保護機能に依存しているため”Meltdown”の影響を受けないとのことみたいです。

 

一部では2014年OpenSSL関連バグで業界を騒がせた”Heartbleed“を凌ぐインパクトがあると言ってますので、しばらく注意深く各ベンダーの対応状況をチェックした方が良いかもしれません。

 

広告

[Microsoft] VMware vSphere on Azureハードウェア

 

2017/12/23 updated

両者、話し合ったようです。

VMware社は先日”サポートしない”といった発表内容を変更し”サポートする“としています。

Recently, Microsoft announced a preview of VMware virtualization on Azure, a bare-metal solution that is stated to run a VMware stack on Azure hardware, co-located with other Azure services in partnership with VMware-certified partners. This offering is being developed independent of VMware, however it is being offered as a dedicated, server-hosted solution similar in approach to other VMware Cloud Provider Partners (VCPP). The deployment is on VMware certified hardware consisting of FlexPod. VMware is in the process of engaging with the partner to ensure compliance and that the appropriate support model is in place.

VMware vSphere on Azureサービスは、他のVCPP(クラウドプロバイダーパートナーズ)と同じく、専用のハードウェアを使ったホスティングサービスとしてサポートしていくことでした。

 

一方、マイクロソフト社でも同じ内容を紹介し、Flexpodを提供基盤として利用するすることも明らかにしています。

To enable this solution, we are working with multiple VMware Cloud Provider Program partners and running on existing VMware-certified hardware. For example, our preview hardware will use a flexpod bare metal configuration with NetApp storage.

 

まあ、これで一先ず両者のピリピリムードは落ち着いたんですかね…

 


去年、AWSのハードウェア上にvSphereを導入し提供するVMware Cloud on AWSが発表され今年アメリカwestリージョンでサービスが開始されましたが…

 

Azureでも同じようなサービスを提供すると発表されました。

 

Transforming your VMware environment with Microsoft Azure

 

上記発表によるとAzureハードウェア上で完全なvSphere環境を提供するとしています。

Today, we’re excited to announce the preview of VMware virtualization on Azure, a bare-metal solution that runs the full VMware stack on Azure hardware, co-located with other Azure services.

 

おそらくオンプレミスのvSphere環境をAzureに移行させるための踏み台的なサービスを提供かと。

そもそも”Azureハードウェア上で完全なvSphere環境を提供する”というのが発表のメインというより”vSphere環境で稼働中ワークロードをAzureに移行する”ことが狙いかと思います。

 

この発表に対して、2日後VMwareも発表をしましたが、やはりニュアンスが違います。

 

VMware – The Platform of Choice in the Cloud

 

Recently, Microsoft announced preview of VMware virtualization on Azure, a bare-metal solution that is stated to run a VMware stack on Azure hardware, co-located with other Azure services in partnership with VMware-certified partners. No VMware-certified partner names have been mentioned nor have any partners collaborated with VMware in engineering this offering.

This offering has been developed independent of VMware, and is neither certified nor supported by VMware.

 

要はAWSのように両社が共同でサービスを開発したわけではなく、マイクロソフト社単独のサービス提供で

あり、VMware社の認定もサポートもしてないとのことです。ふむ。

 

ということでAzureでもbare-metalベースのvSphere環境が構築可能だが、VMware社のサポートは受けられないようなのでサービスが開始されても本番環境の運用は慎重に検討する必要があると思います。

 

[VMware] Windows 7/Windows Server 2008 R2ロールアップデート適用への注意

既にご存知の方もいらっしゃると思いますが、念のため。。。

6月1日VMware社より、以下の情報が公開されました。

RUSH POST: Microsoft Convenience Update and VMware VMXNet3 Incompatibilities

 

5月数年ぶりに公開されましたWindows 7、Windows Server 2008 R2 SP1用ロールアップアップデートを適用することにより
”vmxnet3”タイプの仮想NICを使用する仮想マシンは仮想NICが【未使用】状態となり通信に不具合が発生するとの
ことです。

Convenience rollup update for Windows 7 SP1 and Windows Server 2008 R2 SP1

VMware社ではこの不具合を認識しており、現在パッチを含めた調査を進めているとのことです。そのため、VMware社またはマイクロソフト社より適切な対応方法が公開されるまではWindows 7、Windows Server 2008 R2 SP1用ロールアップアップデートは実施しないことを推奨しています。

やむを得ず、Windows Updateを実施する場合はご注意ください。

 

 

[Microsoft] SQL Server on Linux

2014年 Satya Nadella氏がCEOに就任してからMicrosoft社は変わりました。変わりつつあります。
”Cloud First, Mobile First”のビジョンの基でAzureやSurfaceなどこれまで競合に遅れていた分野を強化し、着実にシェアを伸ばしています。

またオープンソースへの対応も強化、一昨年のTechEdでは”Microsoft ♥︎ Linux”をアピール、これまでの対決関係を協力関係に変えました。

ms_love_linux

 

数日前に発表した内容もこのような”変わる”マイクロソフトを証明する、ある意味衝撃的なものになりました。
Announcing SQL Server on Linux

 

マイクロソフト社は3月7日、今年リリース予定の次世代SQL Server 2016をLinux OS上からも稼働できる”SQL Server on Linux”を発表すると同時にプレビュー版も公開しました。(正式対応は2017年半ばになるとのことです)

 

Linuxの場合、既にMySQLやPostgreSQLなどが確固たるプレイヤーがいる状況でどこまで採用されるか、正直なところ疑問です。が、SMB以上の企業では相当SQL Serverを導入していること、Azure上で140万以上のSQL Serverが稼働中であること、そしてWindows Serverのセキュリティ脆弱性を取り除いた状態でより安全にデータベースを利用可能なことなどを考えると意外と良い結果を残すかもしれませんね。 🙂

来年GAリリースまで待たず、すぐにでも試してみたい方はここからプレビュー版に応募してくださいなー。

 

 

[Microsoft] RD Connection Brokerの性能を向上するパッチがリリース

今年リリース予定のWindows Server 2016はHyper-Vのドッカー、Hyper-Vコンテナ、ナノサーバ、Nested対応などの機能がてんこ盛りです。しかしながらRDS/VDI関連の機能は今のところMultipoint Service程度でしょうか。正直Windows Server 2012/2012 R2のRDS/VDIを見てもマイクロソフト社がエンタープライズレベルのVDIソリューションにそれほど力を入れてないのは感じてますけど。。。

まあ、そーいうことで既存バグを修正する :)、機能を強化するパッチが公開されたりしています。

 

しかし、2015年12月15日単純なバグ修正ではない、RD Connection Brokerのパフォーマンスを大きく向上するパッチが公開されました。しかもこのパッチはWindows Server 2012 R2を含め、リリース予定のWindows Server 2016のRD Connection Brokerでも有効とのことです。

Improved Remote Desktop Connection Broker Performance with Windows Server 2016 and Windows Server 2012 R2 Hotfix

 

このパッチはRD Connection Brokerの接続処理ロジックに変更を加えたものでパッチ適用によるログインストーム時の処理速度と接続率、RDSHの追加/再移動時の処理速度、End-to-End接続速度と接続率の向上の内部テスト結果も公開いしています。このテスト結果ではRD Connection Brokerの処理速度が”分”から”秒”に短縮された大きい性能向上が確認できます。最初からこうしてくれれば良かったのに。

 

さらに内部テストを実施し、その結果をガイドで公開する予定ということですので、公開されたら読んでみたいですね。

 

 

[Microsoft] Windows Server 2016のライセンスポリシー変更?

先月Technical Preview 4がリリースされ2016年のGAへ向けて着々と進んでいるWindows Server 2016のライセンスについて情報が公開されました。

Windows Server 2016 and System Center 2016 Standard and Datacenter Editions Pricing and licensing FAQ

まず、提供エディションはWindows Server 2012/2012 R2と同様、”Standard”と”Datacenter”の2つのエディションです。

が、購入形態としてはWindows Server 2016から大きく変わることが分かりました。
Windows Server 2012/2012 R2までは物理サーバーのソケット単位で提供されましたが、2016からは物理サーバーのプロセッサーのコア単位での提供となるようです。

”The licensing of Datacenter and Standard Edition will move from processors to physical cores which aligns
licensing of private and public cloud to a consistent currency of cores and simplifies licensing across multi-cloud
environments. ”

本資料では、一応8コアまでならWindows Server 2012/2012 R2の”2ソケット”ライセンスと変わらないと言ってますが、仮想化インフラやプライベートクラウドなどで10コア以上のハイエンドCPUがデファクトスタンダードになりつつある現状からすると今回のライセンス変更は顧客に受け入れ難いのではないかと思いますね。

またDatacenterエディションでしか利用できない機能があり、Windows Server 2016リリース以降、、導入の際には注意が必要になります。

”Some new features unique to Datacenter Edition include an Azure-inspired networking stack and Azure-inspired storage enhancements including Storage Spaces Direct.”

まあ、資料のフッターには”This document is for informational purposes only.”となっていて今後変わることも十分考えられますが、一応参考までに共有します。

 

[Microsoft] VDA ライセンスポリシーを変更

VDI導入のハードルを上げている原因の一つがライセンスです。特にVDAは悩ましいものです。
元々シンクライアントやゼロクライアントのようにnon-Windows OSでバイスから仮想デスクトップに接続するために必要なものでデバイス単位でのみ購入が可能、利用可能なデバイスは最大4台といった制限があったからです。

この制限が次のように変更されました。
・VDAをユーザー単位でも購入可能となりました。
・VDAの接続デバイス制限数が廃止されました。

マイクロソフト社としては思い切った決定だと思いますが、あともう一歩、クラウド上からもクライアントOSを自由に利用できるようにボリュームライセンスポリシーが変更して欲しいですね。

詳しい内容はここをご参照ください。