Een vervelend effect van de Meltdown en Spectre-crisis is dat cloudinfrastructuren problemen ondervinden, grotendeels omdat Linux-ontwikkelaars pas laat werden geïnformeerd. Google publiceerde vorige week over de ontdekkingen waar Google, Intel, AMD en ARM ongeveer een half jaar van wisten.

De Linux-kernel implementeert sinds november een oplossing en in kernel 4.15 wordt deze officieel toegevoegd. Linux-distro's rollen nu hun patches uit, Microsoft heeft Windows onder handen genomen en Apple heeft macOS-patches uitgerold. Deze zijn allemaal haastig toegepast, omdat de softwareleveranciers een stuk minder de tijd hadden om het gat aan te pakken dan hardwaremakers.

Jarenlange cloudimpact

OpenBSD-leider Theo de Raadt klaagt over het discolureproces waarbij vooral kleinere leveranciers pas laat op de hoogte werden gesteld. Ook heeft hij geen goed woord over voor Intels aanpak met speculative execution, waarvan elke expert allang weet dat het beveiligingsrisico's met zich meebrengt. De Raadt vermoedt dat Intel zijn ontwerpers heeft opgedragen dat risico simpelweg te negeren.

Dat juist OpenBSD hardop zijn beklag doet is tekenend: het OS houdt zich specifiek bezig met het leveren van een beveiligde omgeving en wordt daarom ook gebruikt in cloudinfrastructuren. De Raadt maakt zich grote zorgen over de langetermijneffecten van Intels aanpak en vindt het eigenlijk van de zotte dat de kernel moet worden aangepast om fouten in de micro-architectuur op te lossen.

Ruwe kernelpatches

En die kernelpatches zijn eigenlijk een noodoplossing. "De kernelpatches waren haastig gemaakt", merkt Zac Smith, CEO van clouddienst Packet. "Er is weinig optimalisatie. Ze beschermen tegen de exploits, maar er is met grof geschut op de kwetsbaarheid geschoten. De vraag is maar of we met nieuwe updates het prestatieverlies kunnen goedmaken."

Die impact wordt al gevoeld door cloudklanten. Een ontwikkelaar liet bijvoorbeeld zien hoe zijn EC2-instances minder goed presteren. Dat komt omdat Amazon kernelpatches toepast en daarna virtuele machines reboot met software die de geheugenfout oplost door ruw te breken met een feature om geheugenberekeningen sneller (en onveiliger) uit te voeren. Een woordvoerder van AWS laat Computerworld weten dat er geen prestatieverlies is voor de meerderheid van EC2-workloads.

Geheugenvertraging

Dat verlies is vooral merkbaar bij processen die in-memory worden uitgevoerd. Vooral bewerkingen van specifieke databasestructuren worden met twintig tot dertig procent vertraagd, wat voor veel bedrijven een onacceptabel verlies is. Om dit probleem op te lossen zonder dit prestatieverlies, moeten patches worden verfijnd of nieuwe hardware worden uitgerold die Intel zo heeft ontworpen dat de architectuurfout niet meer aanwezig is.

Momenteel kun je kiezen uit twee slechte opties: draai zónder de oplossing en loop het risico dar aanvallers het gat misbruiken, of patch het issue en loop prestatieverlies op. Smith stelt een derde oplossing voor: stap af van een multi-tenant-omgeving en draai weer losse, geïsoleerde instances.