Wie man Meltdown und Spectre für Solr handhabt
Kürzlich wurde bekannt, dass die meisten Intel-Prozessoren für eine Sicherheitslücke anfällig sind, die es Prozessen ermöglicht, den Speicher anderer Prozesse auszulesen, die auf derselben Intel-CPU laufen. Derzeit scheint es, dass einige der Schwachstellen auch AMD-CPUs betreffen, die schwerwiegenderen, die Leistung beeinträchtigenden Schwachstellen jedoch nicht. Da Cloud-Anbieter Intel-CPUs und Virtualisierung verwenden, um mehrere Clients auf derselben VM zu unterstützen, kann dies besonders für Multi-Tenant-Hosting-Umgebungen wie Amazon Web Services beunruhigend sein. Google hat jedoch erklärt, dass es glaubt, die Schwachstelle in seiner Google Cloud Platform erfolgreich entschärft zu haben, obwohl einige Benutzer-Patches erforderlich sind.
Es ist wichtig, das Risiko dieses Fehlers zu verstehen, es aber nicht zu überschätzen. Um zu funktionieren, muss der Exploit bereits in einer Software auf Ihrem Computer ausgeführt werden. Er ermöglicht es niemandem im Internet, die Kontrolle über Ihren Server zu übernehmen, z.B. über http. Wenn es bereits eine Sicherheitslücke gibt, verschlimmert sich die Situation, da der verwundbare Prozess dazu benutzt werden könnte, Speicher von anderen Prozessen zu lesen.
Es gibt bereits Patches für das Betriebssystem für diesen Fehler. Leider erfordert der Patch für diesen Fehler auf Betriebssystemebene die Erstellung einer Software-Isolierungsschicht, die erhebliche Auswirkungen auf die Leistung hat. Schätzungen zufolge können die Auswirkungen zwischen 5-30% liegen. Jede Software, die im Anwendungsbereich läuft, kann davon betroffen sein. Die Auswirkungen werden unterschiedlich sein, und jede Anwendung muss auf Leistung und Belastung getestet werden.
Einige Kunden, die auf ihrer eigenen internen Hardware arbeiten, könnten sich angesichts des Vektors des Exploits und der Performance-Kosten des Fixes dazu entschließen, die Anwendung zu verschieben. Andere Kunden, die in anfälligeren Umgebungen arbeiten oder besondere Sicherheitsbedenken haben, müssen das Problem vielleicht lösen und sich mit den Auswirkungen auf die Leistung auseinandersetzen.
Zum Glück für Lucidworks-Kunden sind Fusion und sein Open Source Solr-Kern besonders gut skalierbar. Bei Systemen mit hoher Kapazität kann die kosteneffektivste Lösung darin bestehen, eine Reihe zusätzlicher Knoten hinzuzufügen, um das höhere Gewicht des Betriebssystems zu berücksichtigen. Darüber hinaus kann es durch die Abstimmung der Fusion-Pipeline möglich sein, die Anzahl der für die Ausführung von Abfragen erforderlichen Aufrufe zu reduzieren oder einige Aufrufe zu parallelisieren und so den Leistungsverlust durch Optimierung in anderen Bereichen auszugleichen.
In jedem Fall ist Lucidworks für unsere Kunden da. Wenn Sie erwägen, die Korrektur anzuwenden, wenden Sie sich bitte an Ihren Kundenbetreuer, um herauszufinden, wie wir Ihnen helfen können, die Probleme zu entschärfen, die Sie möglicherweise haben. Wenn Sie Ihren Kundenbetreuer noch nicht kennen, stellen Sie bitte eine Support-Anfrage oder nutzen Sie die Lucidworks-Kontaktseite.