CPU の脆弱性から Azure のお客様を保護するために (2018/1/25 補足情報の更新)
本記事は、米国時間 1 月 3 日に公開された "Securing Azure customers from CPU vulnerability" の抄訳です。正式には、英語版のポストを参照して下さい。
1 月 25 日更新: Intel 社より、ファームウェア アップデートに伴い再起動が増加するため、今後のさらなるファームウェア アップデートを待つようガイダンスが公開されております。しかしながら、Azure プラットフォームにおいては、当該 Intel 社のガイダンスに記載の事象には該当しませんので、ご安心ください。また、これによる新たな計画メンテナンスも予定はございません。
参考情報: 高速化されたメンテナンスについてよくあるご質問 (FAQ)
/ja-jp/azure/virtual-machines/windows/accelerated-maintenance
<抜粋> Intel released additional guidance on January 22, 2018 related to the security vulnerabilities. Will this guidance cause any additional maintenance activities by Azure?
Azure mitigations previously announced on Jan 3, 2018 are unaffected by the updated guidance from Intel. There will be no additional maintenance activity on customer VMs as a result of this new information.
1 月 6 日更新: 投機的実行機能を持つ CPU に対するサイドチャネル攻撃における脆弱性に対するガイダンスは、こちらを参照してください。
業界全体に影響を及ぼす、ハードウェア ベースのセキュリティの脆弱性が本日公開されました。お客様のセキュリティを保つ事はマイクロソフトの最大の優先事項であり、本脆弱性によって Azure のお客様が危険にさらされることが無いように率先した対応を取ることといたしました。なお、本 Blog ポストの公開時点で、マイクロソフトでは、本脆弱性がAzure のお客様への攻撃に利用されたという事は報告を受けておりません。
Azure インフラストラクチャの大部分は、本脆弱性に対応するため更新済みとなります。残る部分も現在更新が進行中であり、プラットフォームの更新にあたってお客様の VM を再起動する必要があります。直近で、お客様の多くにAzure の計画メンテナンスの通知をお送りさせていただいているものです。一部のお客様ではアップデートを完了させるために、すでにセルフサービスで VM の再起動を実施していただいております。それらの環境では対策は完了となりますので、追加のご対応は必要ございません。
本脆弱性の情報が本日一般公開されたことを受け、マイクロソフトは計画メンテナンスのタイミングをさらに加速させることといたしました。
2018 年 1 月 3 日 3:30 PM (太平洋標準時) すなわち 1 月 4 日 8:30 AM (日本時間)より、再起動が必要な仮想マシンは順次再起動を行ってメンテナンスを完了させてまいります。今回の更新の緊急性に伴い、本時刻をもって、一部のお客様でご利用可能となっていたセルフサービスのメンテナンス ウィンドウは終了となります。
本更新中、可用性セット、VM スケール セット、ならびにクラウド サービスに対しての SLA を担保します。すなわち、同じ可用性セット内の VM が同時にダウンしないようスケジュールが自動調整され、サービスへの影響が最小化されます。これによって、Azure における高可用性のガイダンスに沿って設計されたソリューションについては、エンド ユーザーへの影響は生じません。VM の OS ディスクならびにデータ ディスクは当再起動によって変更されることはありません。また、Azure サブスクリプションの管理者は、Azure ポータルの Azure Service Health の計画メンテナンス セクションにおいて再起動が完了したことを確認することができます。
ほとんどの Azure のお客様は、本更新によるパフォーマンス面での影響を感じられることはないと思われます。マイクロソフトは、CPU とディスク IO パスの最適化を行っており、本脆弱性対策によって顕著なパフォーマンス影響が発生しないことを確認しています。ごく少数のお客様に限って、ネットワーク パフォーマンスにおける影響がみられる場合があります。そのような場合、Azure 高速ネットワーク機能を有効化することで解消可能です。高速ネットワーク機能は無償の機能となります。高速ネットワーク機能の有効化については、Windows / Linux をご参照ください。マイクロソフトでは、パフォーマンス影響を今後も注意深く監視し、お客様からのフィードバックについて調査を続けてまいります。
今回の Azure インフラストラクチャの更新において、公表されている脆弱性に対してハイパーバイザー レベルでの修正を行っており、Windows もしくは Linux VM イメージの更新は不要です。しかしながら、常套句とはなりますが、お客様の VM イメージにおいてもセキュリティについてのベストプラクティスを実践していただくことも、引き続きお願いいたします。
必要に応じて、お客様がご利用のオペレーティング システム ベンダーにご相談を下さい。Windows Server VM をご利用のお客様は、当ガイダンスが提供されており、こちらのリンクから参照をしていただけます。