듣지 못한 경우 최근 지난 10 년 동안 판매 된 거의 모든 프로세서에 영향을 미치는 일련의 관련 취약점이 발견되었습니다. InfoSec.SE에서 멜트 다운 / 스펙트럼 취약점에 대한 자세한 기술 정보를 찾을 수 있습니다 .
SQL Server DBA로서 이에 대해 무엇을 이해해야합니까?
SQL Server (또는 vm 팜)를 다른 회사와 공유하지 않아도 여전히 위험합니까?
이것은 단순히 OS 패치입니까? 또는이 취약점을 해결하는 데 필요한 SQL Server 용 패치 / 핫픽스가 있습니까? 어떤 SQL Server 버전이 패치됩니까?
일부 기사는 특히 고도로 가상화 된 환경에서 5-30 %의 성능 영향을 예측합니다. SQL Server에 미치는 성능 영향을 예측할 수있는 방법이 있습니까?
답변:
다음은 세 가지 "CVE"번호가 할당 된 취약점에 대한 Microsoft 보안 권고 입니다.
이러한 취약점이 SQL Server에 미치는 영향에 대한 Microsoft KB는 새로운 정보가 제공됨에 따라 활발히 업데이트되고 있습니다.
KB 4073225 : 예측 실행 부 채널 취약점으로부터 보호하기위한 SQL Server 지침 .
Microsoft의 정확한 권장 사항은 구성 및 비즈니스 시나리오에 따라 다릅니다. 자세한 내용은 KB를 참조하십시오. 예를 들어 Azure에서 호스팅하는 경우 작업이 필요하지 않습니다 (환경이 이미 패치되어 있음). 그러나 잠재적으로 신뢰할 수없는 코드가있는 공유 가상 또는 물리적 환경에서 응용 프로그램을 호스팅하는 경우 다른 완화 조치가 필요할 수 있습니다.
영향을받는 다음 SQL 버전에 대해 현재 SQL 패치를 사용할 수 있습니다.
이 SQL 서버 패치는 CVE 2017-5753 ( Spectre : Bounds check bypass ) 로부터 보호 합니다.
CVE 2017-5754 ( Meltdown : Rogue data cache load ) 로부터 보호하기 위해 Windows에서 레지스트리 변경을 통해 KVAS ( Kernel Virtual Address Shadowing ) 또는 Linux의 Linux KPTI ( Kernel Page Table Isolation )를 패치를 통해 활성화 할 수 있습니다. 리눅스 배포자).
CVE 2017-5715 ( Spectre : Branch target injection ) 로부터 보호하기 위해 레지스트리 변경과 하드웨어 제조업체의 펌웨어 업데이트를 통해 IBC ( Branch Target Injection mitigation 하드웨어 지원 )를 활성화 할 수 있습니다 .
KVAS, KPTI 및 IBC는 환경에 필요하지 않을 수 있으며 성능에 가장 큰 영향을 미치는 변경 사항입니다 (강조 광산).
모든 고객은 업데이트 된 버전의 SQL Server 및 Windows를 설치하는 것이 좋습니다. 이는 Microsoft SQL 워크로드 테스트를 기반으로 기존 애플리케이션에 미치는 성능 영향을 최소화 할 수는 없지만 프로덕션 환경에 배포하기 전에 유효성을 검사하는 것이 좋습니다.
Microsoft는 다양한 환경에서 다양한 SQL 워크로드에 대한 KVAS (Kernel Virtual Address Shadowing), KPTI (Kernel Page Table Indirection) 및 IBC (Branch Target Injection Mitigation)의 영향을 측정 한 결과 상당한 워크로드를 발견했습니다. 프로덕션 환경에 배포하기 전에 이러한 기능을 사용하여 성능에 미치는 영향을 확인하는 것이 좋습니다. 기존 응용 프로그램에 대해 이러한 기능을 활성화 할 때 성능에 미치는 영향이 너무 높으면 고객은 동일한 컴퓨터에서 실행되는 신뢰할 수없는 코드에서 SQL Server를 격리하는 것이 응용 프로그램에 더 적합한 완화 방법인지 고려할 수 있습니다.
Microsoft SCCM (System Center Configuration Manager) 관련 지침 : 2018 년 1 월 8 일 기준으로 예측 실행 측 채널 취약성을 완화하기위한 추가 지침 .
관련 블로그 게시물 :