CPU漏洞頻現，如何不在性能和安全之間二選一？

儘管Meltdown和Spectre兩大CPU漏洞發生在2018年年初，但近半年的時間並沒有讓其帶來的影響完全消除。一是因為這兩個漏洞本身帶來的影響足夠大，甚至可以用掀起IT界的「地震」來形容；二是自從1月份以來，新的CPU漏洞不斷被曝出，不論是英特爾、AMD、ARM、Power等無一倖免，「下一代Spectre」、「Meltdown-Spectre變種」等字眼不斷出現在各大科技媒體頭條。

如此形勢下，如何降低甚至消除Meltdown和Spectre帶來的影響，成為廣大用戶尤其是企業級IT用戶討論的熱點。在晶元供應商、OS廠商、應用提供商已經紛紛發布針對漏洞補丁的今天，為什麼Meltdown和Spectre還能引發討論？實際上，這裡存在一個不可消除的矛盾點，也就是在安全性和性能之間如何選擇。

修補漏洞對應用性能造成的影響

為了不對安全帶來影響，解決Meltdown和Spectre漏洞最直接的方法就是打補丁。然而這一方法卻導致應用性能顯著下降，這也是英特爾等公司備受詬病與壓力的原因。

這裡有必要再提下Meltdown和Spectre漏洞產生的原因，其中亂序執行（Out-of-order Execution）、推測執行（Speculative Execution）和分支預測（Branch Prediction）三大CPU採用的技術是造成漏洞產生的根本原因。簡單理解，Meltdown破壞了位於用戶應用和操作系統之間的基本隔離，導致程序可能訪問其他程序和操作系統內存，從而產生敏感信息會被竊取的可能性。Spectre則是破壞了不同應用程序之間的隔離， 處理器會推測在未來有用的數據並執行計算，當這些數據被需要時可立即使用。但是處理器沒有很好地將低許可權的應用程序與訪問內核內存分開，這意味著攻擊者可以使用惡意應用程序來獲取應該被隔離的私有數據。

然而為了應對這一問題，目前的補丁技術只能是使用軟體來降低黑客利用預測執行來入侵內核內存，主要的補丁是將每個進程的內核地址和用戶地址共享映射表改為內核地址和用戶地址各有自己獨立的映射表PGD（Page Global Directory），這樣一來在用戶空間根本沒有內核空間的映射表，即使漏洞存在，黑客也不會從內核獲得數據。但是這樣的代價就是每次系統調用或者中斷髮生時都需要切換映射表，這無疑會影響應用的性能。

因為Meltdown和Spectre主要是產生於用戶態和內核態交互之間，黑客利用用戶態和內核態之間的短暫未保護狀態的瞬間竊取信息。所以從應用角度來看，如果應用有很多用戶態和內核態之間的交互，顯然受漏洞影響就比較大。如果應用在內核態和用戶態之間的操作比較少，它受漏洞的影響也就比較小。

從對於業界應用的影響來看，英特爾確認性能損失取決於工作負載。比如常見的OLTP應用，為了提升效率，往往需要將資料緩存到內存中，所有的OLTP操作都是由內核來完成，如果不使用Meltdown和Spectre的補丁，應用很容易被黑客攻擊；如果使用補丁，根據第三方測試數據，應用性能可能會有8% 到19%的損失。對於一些內核層和用戶層很少通訊的應用來講，性能影響就會小些甚至不受影響。

根據業內分析發現，應用修復所產生的系統性能影響如下所示：

? 模擬常見企業和雲工作負載的基準測試顯示， 性能降低 2% 至 5%。

? 資料庫分析和Java VM 基準測試顯示，性能降低 3% 至 7%。

? 在線交易類的 OLTP 基準測試顯示，性能降低 8% 至 19%。

? 使用了支持加速器技術（包括 DPDK、RDMA 等） 網卡的應用性能退化微乎其微，甚至完全不受影響。

（圖）修復後的不同類型應用的平均性能損失

所以，總體看來，使用犧牲性能的方式來解決問題，無疑不是一個好的方案。

如何不在安全與性能之間二選一

由於Meltdown和Spectre問題來源於CPU，最根本的解決辦法就是改變CPU從內存和磁碟讀取數據的方式，實現既不損失性能又有安全保障。但是這是一個很艱巨的任務，很難在短期內實現。

Mellanox公司亞太及中國區市場開發高級總監宋慶春在接受至頂網採訪時表示，「當前的最佳解決方案就是盡量做到CPU Offload，減少內核層和用戶層之間的溝通， 比如使用RDMA技術來Bypass CPU，使用NVMe over Fabric Offload來將CPU操作的內核拷貝跳過，使用GPU Direct RDMA技術跳過GPU內存和CPU內存的拷貝等。另外使用網卡硬體來做應用和應用之間的安全隔離來避免使用CPU來做軟體隔離，也是預防漏洞的有效方法之一。」

所以，解決Meltdown和Spectre問題的關鍵就是減少CPU和應用的溝通，RDMA和智能網卡做的就是讓CPU盡量只做計算，所有通訊和安全的操作由網路來做，從而切斷黑客訪問應用的途徑。此外，還包括DPDK技術，「它們實際是把原來由內核操作的很多工作放到用戶態去做，這樣很多操作就跟內核態沒有關係了。通過在用戶態之間建立應用和應用之間隔離，避免和內核態之間的交互，來降低這些漏洞帶來的風險。現在RDMA技術已經被廣泛應用到了各種各樣的應用當中，從很多採用RDMA的應用來看，可以看到它被Meltdown和Spectre這兩個漏洞影響的機會非常小，而且對性能的影響非常低，甚至做到沒有影響。」 宋慶春說。

所以，這在另一個層面又回到了卸載技術與載入技術的爭論。卸載技術尋求克服CPU的性能瓶頸，主要方式是對在集群內移動的數據執行各種網路功能以及複雜的通信操作，如協同操作和數據聚集操作。以Mellanox為代表的網路廠商推出了卸載技術（如 RDMA 和 DPDK）， 將處理TCP/IP和存儲堆棧的重任轉移至網路適配器，緩解主要系統處理器的壓力。這樣可以提升性能，並緩解了修補Spectre 和Meltdown 後通常造成的性能損失。

主流應用享受RDMA帶來的安全與性能提升

現在包括計算、存儲、大數據、虛擬化等諸多市場上的主流應用已經應用RDMA、DPDK等Kernel Bypass的技術來規避和降低Spectre 和Meltdown帶來的影響，並提升性能。

宋慶春指出，在存儲方面，無論是對象存儲的CEPH、塊存儲的iSCSI、文件存儲的Cluster File System以及NVMe over Fabric等等，都已經有RDMA的版本。此外，在各種人工智慧的主流框架中，包括TensorFlow、CNTK、Caffe2、MXNet、PaddlePaddle，以及商湯科技、Face++等公司的私有框架，也都有了基於RDMA的實現。還包括大數據處理的主流框架Spark以及虛擬化方面，都諸多應用到了RDMA或者DPDK的技術，以CPU Offload減少內核層和用戶層之間的溝通，預防漏洞的同時，同時性能得到顯著提升。

小結

所以，以CPU Offload如RDMA 和 DPDK的方案帶來的明顯價值是讓用戶不用在安全性和在應用性能之間做權衡。以往來說，在面對Spectre 和Meltdown時，如果選擇性能不打補丁，就可能帶來安全隱患的影響。如果選擇打補丁，則導致應用性能受到影響。

其實，可以不必在性能與安全之間二選一，你有一個更好的選擇！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！