Gli ambienti VDI sono vulnerabili a Meltdown e Spectre?
Article by Brandon Lee

Gli ambienti VDI sono vulnerabili a Meltdown e Spectre?

Mai nella storia dell’hardware moderno sono stati scoperti problemi di sicurezza così importanti e di così vasta portata come quelli sperimentati con le recenti vulnerabilità Meltdown e Spectre. Un potenziale che può comprendere letteralmente miliardi di CPU che si trovano in altrettanti dispositivi. Nelle scorse settimane produttori e aziende di software si sono mossi per trovare una soluzione a questo problema, che si rivela ancora più complicato in quanto esiste a livello di logica hardware.

Le organizzazioni oggi sono interessate non solo a livello di infrastruttura dei server, ma anche a livello di dispositivi in dotazione all’utente finale: per non farsi mancare nulla, anche i dispositivi di rete contengono processori vulnerabili. Il problema potrebbe essere più complicato dato che quando si utilizzano architetture client/server tradizionali tramite workstation degli utenti finali, queste dovranno essere modificate da aggiornamenti del BIOS, patch software, ecc. Ma cosa sono Meltdown e Spectre? Pensando alle infrastrutture virtuali, gli ambienti VDI sono vulnerabili? In che modo l’infrastruttura VDI protegge le organizzazioni dalle recenti minacce provenienti da logiche errate hardware nei processori?

meltdown and spectre

Meltdown e Spectre sfruttano le funzionalità di “esecuzione speculativa” delle moderne CPU

Cosa sono Spectre e Meltdown?

Entrambi gli exploit sono basati sul un concetto logico dei processori moderni chiamato “esecuzione speculativa”. Con l’esecuzione speculativa, i processori cercano di indovinare le istruzioni che dovranno elaborare successivamente, e nella maggioranza dei casi riescono a indovinare le operazioni imminenti e in quale ordine devono essere eseguite. Quando l’esecuzione speculativa è stata introdotta con i primi processori Pentium, ha fornito grandi miglioramenti nelle prestazioni rispetto ai precedenti processori che non implementavano questa tecnologia.

Tuttavia, di recente, è stato rilevato che la tecnica di esecuzione speculativa presenta difetti di sicurezza che consentono ai processi utente di compromettere la memoria protetta. È stato rilevato che i processori Intel consentono ai processi durante l’esecuzione speculativa di avere accesso a questo spazio di memoria protetto, cosa che non dovrebbe mai essere consentita. Apparentemente, i processori Intel non hanno controlli di sicurezza in atto per determinare se la memoria a cui accede il processo è ad accesso protetto o meno. La memoria protetta contiene informazioni sensibili per la sicurezza come password, chiavi crittografiche e molte altre informazioni. Con l’attacco Meltdown, l’isolamento dello spazio degli indirizzi di memoria viene “fuso”. Ciò espone lo spazio protetto degli indirizzi. In questo caso i processori Intel e ARM sembrano essere interessati da Meltdown, mentre non lo sono i processori AMD.

Spectre ha un approccio un po’ diverso riguardo lo sfruttamento del mancato controllo sull’accesso alla memoria di esecuzione speculativa. Con Spectre, l’isolamento dello spazio degli indirizzi di memoria tra varie applicazioni è compromesso. Quindi, ad esempio, l’isolamento dello spazio degli indirizzi che dovrebbe esistere tra diverse macchine virtuali, con Spectre potrebbe essere violato. Con Spectre il numero di CPU interessate è ancora più grande poiché include Intel, ARM e AMD.

Patch software per rimediare a Meltdown e Spectre

Per liberarsi del problema, i data center aziendali e gli utenti finali dovrebbero scartare i processori attuali della CPU dei loro dispositivi e installare qualcosa di nuovo. Il problema è che “qualcosa di nuovo”, in realtà, non esiste ancora. I produttori di CPU semplicemente non hanno un nuovo processore pronto per il mercato che non contenga la vulnerabilità.

A questo punto, l’unica vera soluzione del problema è applicare le patch del sistema operativo rilasciate dal produttore, che cambiano il modo in cui il sistema operativo interagisce con la memoria del kernel. Microsoft, Linux, Apple, VMware e altri hanno già rilasciato patch software per affrontare la vulnerabilità. Molte organizzazioni si stanno cimentando per identificare l’ambito delle patch necessarie e il modo migliore per implementarle. Probabilmente il processo più impegnativo da prendere in considerazione per le aziende sarà quello di correggere le workstation client, le patch del BIOS, ecc.

Per quelle organizzazioni che considerano il VDI o che hanno già in esecuzione ambienti VDI, ci sono certamente dei vantaggi.

Gli ambienti VDI sono interessati da Meltdown e Spectre?

Gli ambienti VDI sono interessati in vari modi: piattaforma hardware utilizzata per connettersi all’ambiente VDI back-end, hypervisor e sistema operativo guest. Ad esempio, in molti ambienti VDI sono in esecuzione macchine virtuali Windows per le quali Microsoft ha rilasciato patch per mitigare il problema. Tuttavia, ci sono aspetti dell’architettura VDI che aiutano a mitigare gli effetti degli attacchi di Meltdown e Spectre. Diamo un’occhiata a quali sono.

Gli ambienti VDI aiutano a mitigare gli attacchi di Meltdown e Spectre

Le soluzioni VDI offrono vantaggi architettonici precisi che possono essere d’aiuto se pensiamo in modo specifico agli exploit Meltdown e Spectre e al processo di patching necessario per rimediare alle vulnerabilità. I principali vantaggi del VDI relativi a Meltdown e Spectre sono i seguenti:

  • La gestione centralizzata delle risorse di elaborazione e delle macchine virtuali di back-end fornisce strumenti migliori e mezzi automatizzati per la gestione delle patch.
    • Avere un mezzo per applicare efficacemente le patch e rimediare alle vulnerabilità della sicurezza può essere molto più facile da realizzare con le soluzioni VDI man mano che le risorse vengono gestite centralmente. Dopo che la singola “immagine” è stata riparata con le patch Microsoft Meltdown e Spectre consigliate, verrà distribuita su tutte le macchine virtuali.
    • Il patching dell’hypervisor sottostante generalmente non prevede tempi di inattività poiché le macchine virtuali vengono semplicemente spostate per alternare risorse di elaborazione e memoria.
  • Le informazioni elaborate sono l’output delle macchine virtuali.
    • In base alla progettazione, il VDI elabora l’output delle macchine virtuali sottostanti. Esiste un livello di astrazione che aiuta a creare una barriera tra un utente malintenzionato e l’interazione con la CPU del thin client.
  • I dispositivi thin client e i relativi software sono altamente customizzati e offrono un ambiente molto più limitato per tentare un exploit di esecuzione speculativa. Il software VDI in esecuzione su un thin client come Praim ThinOX, viene ridotto a zero e i sistemi operativi personalizzati sono più difficili da sfruttare quando si tenta di compromettere eventuali processi di esecuzione speculativi sottostanti.
  • Molti produttori come Praim hanno una gestione centralizzata dell’hardware thin client che rende le operazioni come gli aggiornamenti del BIOS e altri aggiornamenti del firmware altamente automatizzati ed efficienti.
    • Utilizzando ThinMan, Praim fornisce un potente controllo dei dispositivi thin client. Ciò consente l’installazione di nuovi firmware e aggiornamenti di sicurezza sul sistema operativo ThinOX.

Alcuni fornitori di thin client che interagiscono con ambienti VDI hanno notato che i loro sistemi non sono vulnerabili agli exploit della CPU Meltdown e Spectre. Ad esempio, gli endpoint zero client Teradici PCoIP rimangono protetti. Gli utenti che utilizzano i modelli Teradici come la serie Praim P che utilizzano Teradici TERA2321 PCoIP e Teradici TERA2140 PCoIP, sono totalmente sicuri.

Inoltre, molte organizzazioni che lavorano con thin client Windows hanno notato che le patch rilasciate da Microsoft sono molto pesanti dal punto di vista dell’utilizzo di disco. Ciò ha comportato dei problemi di spazio su alcuni thin client Windows. Utilizzando un sistema operativo VDI di dimensioni estremamente ridotte, come Praim ThinOX4PC, le aziende possono alleviare questi problemi di spazio. Su quei dispositivi, l’installazione di ThinOX4PC consente di utilizzare lo stesso hardware eliminando la necessità di installare le patch software di Microsoft.

Conclusioni

Meltdown e Spectre sono di gran lunga il rischio informatico più allarmante che sia stato scoperto negli ultimi tempi. La numerosità dei sistemi interessati è difficile da comprendere. Praticamente ogni processore in funzione oggi in quasi tutti i tipi di dispositivo è vulnerabile. L’infrastruttura VDI è vulnerabile in una certa misura semplicemente per il fatto che i sistemi operativi guest e gli hypervisor stessi necessitano delle patch raccomandate dai fornitori di software.

Tuttavia, se confrontate con le workstation fisiche dell’utente finale, le soluzioni VDI sono più facili da gestire e correggere quando si tratta di patch, BIOS e aggiornamenti firmware necessari. Semplicemente aggiornando una singola “immagine”, tutte le macchine virtuali risultanti derivate da quell’immagine sono modificate di conseguenza. Inoltre, utilizzando una piattaforma di gestione thin client come Praim ThinMan, le organizzazioni possono gestire centralmente tutti i dispositivi thin client da un singolo pannello. Ciò consente di automatizzare la distribuzione di qualsiasi firmware raccomandato o aggiornamenti di sicurezza per tutti i dispositivi degli utenti finali.

La questione Meltdown and Spectre non si esaurirà velocemente. Le organizzazioni dovranno rimanere aggiornate con le ultime patch di sicurezza disponibili e assicurarsi che i sistemi di produzione siano altrettanto aggiornati.

 

Per saperne di più sull’effetto di Meltdown e Spectre sui dispositivi Thin Client, leggi:

I thin client possono essere colpiti da Spectre e Meltdown?

Rispondi

L'unione fa la forza

I nostri rivenditori sono in grado di sfruttare al meglio la nostra tecnologia e lavorano con noi per disegnare le soluzioni ottimali per te.

Clienti

Hanno scelto di utilizzare le soluzioni Praim