Meltdown und Spectre: Ist dedicated Hosting die Lösung?
Letzte Woche wurde eine gravierende Schwachstelle aktueller Prozessoren bekannt. Dank ihr sind Attacken auf Cloud- und Containersysteme möglich. Im Folgenden ein paar Fragen und Antworten zum Thema.
Warum sind Meltdown und Spectre ein Problem für Cloud- und Containerumgebungen?
Sie nutzen eine grundlegende Sicherheitslücke aktueller Chiparchitekturen aus. Diese ermöglicht es unter anderem, in virtualisierten Umgebungen und Containerumgebungen von einem Gastsystem auf ein anderes Gastsystem oder sogar auf das Hostsystem durchzubrechen.
Wird dadurch die Sicherheit von Public Cloud-Umgebungen kompromittiert?
Beim aktuellen Wissenstand muss angenommen werden, dass dies der Fall ist. Zwar haben alle Cloudanbieter ebenso wie die wichtigsten OS-Lieferanten und Virtualisierungsanbieter reagiert und entsprechende Patches veröffentlicht. Da das Problem aber in der Chiparchitektur liegt, dürfte eine definitive Lösung erst mit einer neuen Chipgeneration erfolgen.
Kann das Problem mit Patches behoben werden?
Sofern die entsprechenden Patches eingespielt wurden, sollte die Sicherheit nach Aussage der Anbieter fürs Erste gewährleistet sein. Es ist aber zu erwarten, dass neue Attacken entwickelt werden, die die zugrundeliegende Schwachstelle ausnützen. Bis also eine neue Chipgeneration flächendeckend in den Clouds zum Einsatz kommt, wird ein permanentes Wettrennen zwischen Cyberkriminellen und Anbietern um Attacken und Patches stattfinden.
Müssen wir das Rad der Zeit zurückdrehen und für sicherheitskritische Anwendungen wieder dedizierte Server einsetzen?
Wenn grösstmögliche Sicherheit gefordert wird: im Prinzip ja. Bei dedizierten Servern werden keine anderen Gäste auf derselben Hardware gehostet. Dasselbe gilt für private Clouds auf dedizierter Hardware. Zwar kommen virtuelle Systeme zum Einsatz, aber da sie alle nur von einem Gast genutzt werden, besteht kein Interesse daran, von einem virtuellen System auf das andere durchzubrechen.
Weiterführende Informationen:
- Interview mit Daniel Gruß, einem der Entdecker von Meltdown und Spectre: «Dann sind wir performancemäßig wieder am Ende der 90er»
- Meltdown and Spectre: Vulnerabilities in modern computers leak passwords and sensitive data (spectreattack.com)
- Meltdown and Spectre: clearing up the confusion (Internet Storm Center)
- Bulletin: HPE ProLiant and Synergy Servers - Side Channel Analysis Method Allows Improper Information Disclosure in Microprocessors (Hewlett Packard Enterprise Support Center)