Open Telekom Cloud für Geschäftskunden

Update: Open Telekom Cloud – Fortschritte bei Spectre / Meltdown

von Redaktion

Die aktuellen Diskussionen in der Presse über die Funktionsuntüchtigkeit der Patches haben sich auf der Open Telekom Cloud nicht komplett bestätigt. Die von Intel freigegebenen Microcodes wurden am 11. Januar nach mehreren Tagen intensiver Tests erfolgreich eingespielt.

Die Updates für V3/V5-Prozessoren laufen in den Verfügbarkeitszonen in Europa und Singapur stabil. Laufende Tests und Plattformreports zeigen keine Störungen. Die täglichen System-Checks sind unauffällig. Aus Sicht des Teams der Open Telekom Cloud sind damit die Sicherheitslecks für diese Prozessoren geschlossen. Ein Rollback wird nicht erfolgen.

„Die Abwägung für oder gegen den Rollback fiel uns leicht“, führt Kurt Garloff aus, „Wir gehen lieber ein minimales Risiko für einen Host-Absturz ein als die Sicherheitsrisiken für unsere Kunden in Kauf zu nehmen, die durch die Fehler im CPU-Design entstehen - Customer Security first“.

Zudem sind die Performanzeinbußen durch die Sicherheits-Updates gering. Es muss aber auch festgehalten werden, dass die Microcode-Updates von Intel noch nicht komplett sind: Für die V4-Prozessoren stehen immer noch keine nutzbaren Sicherheitsupdates zur Verfügung. Auf der Open Telekom Cloud wurden die Patches getestet. Sie haben zu Systeminstabilität geführt und werden daher nicht auf der Open Telekom Cloud eingesetzt. Es scheint, als ob Intel momentan noch Probleme hat, Microcode-Updates zu liefern, die in allen Szenarien einwandfrei laufen. Am 22. Januar hat Intel sogar viele seiner Updates zurückgerufen.

Mittlerweile scheint das Reboot-Problem laut Intel aber verstanden. Kurzfristig sollen Updates verfügbar sein, die die Sicherheitslücken mit Ausnahmen von Spectre-2 -Szenarien schließen. Mittelfristig soll auch die Spectre-2-Schwachstelle geschlossen werden. „Sobald die Patches verfügbar sind, werden wir mit unseren Tests beginnen“.

Open Telekom Cloud arbeitet daran, die Scherheitslücke zu schließen

Die kürzlich bekannt gewordenen Sicherheitslücken im Zusammenhang mit Prozessoren hat die Branche kalt erwischt: Vom mobilen Endgerät über den Desktop-PC bis zum Cloud-Server – beinahe jeder Computer mit gängigem Prozessor ist betroffen. In den Medien bis dato oft als „Intel-Problem“ tituliert, machen laut dem Hersteller Prozessoren anderer gängiger Marken jedoch dieselben Probleme. Jetzt arbeiten Hersteller und Anbieter unter Hochdruck an Lösungen, um die entdeckten Lücken so schnell wie möglich zu schließen.

Natürlich auch die Telekom. Der Bonner Provider stellt mit der Open Telekom Cloud IT-Ressourcen auf Abruf für Unternehmen bereit, die unter anderem besonders für ein mehrfach zertifiziertes, hohes IT-Sicherheitsniveau bekannt ist. Nachdem die Lücken verfrüht am 4. Januar publik wurden, stehen seitens Intel mittlerweile Microcode-Updates sowie Fehlerumgehungen für Hypervisoren und Betriebssystemkernels von den Communities bereit. Die Telekom hat begonnen, diese in der Open Telekom Cloud zu installieren und damit wieder für eine vollständige Abschirmung von Prozessen, Containern und virtuellen Maschinen zu sorgen.

Wo liegt genau das Problem?

Fehler bei der Implementierung vieler moderner CPUs führen aktuell zu einem bisher unentdeckten Nebenkanal, der Angreifern Lesezugriff auf normalerweise geschützte Speicherbereiche eines Computers ermöglicht. Dies wiederum ermöglicht es, die Sicherheitsrichtlinien des Systems zu umgehen und somit Prozess-, Container- und sogar Virtualisierungsgrenzen zu überwinden.

Die in der Open Telekom Cloud verwendeten Server und deren Intel-CPUs sind davon betroffen – genau wie die Server praktisch aller anderen Cloud-Anbieter. Deshalb hat die Telekom damit begonnen, Microcode-Updates sowie Kernel- und Hypervisor-Workarounds in der Open Telekom Cloud zu implementieren, um das gewohnt hohe Sicherheitsniveau der Infrastruktur weiter zu gewährleisten. Die Bereitstellung wird zu Neustarts der Infrastruktur führen, die sich auf die virtuellen Maschinen der Nutzer auswirken können.

Lösungen für Nutzer der Open Telekom Cloud

Erste Patches wurden in der Open Telekom Cloud installiert; derzeit läuft die Planung für die massenweise Einführung in den kommenden Tagen. Die Installation führt zum Neustart der Maschinen und somit auch zum Neustart der virtuellen Maschinen der Kunden, die entsprechend vorgewarnt werden.

Auch die von den Nutzern kontrollierten Betriebssystemskernels benötigen die Workarounds. Erste Kernel-Updates sind mittlerweile verfügbar; aktualisierte Images zur Nutzung in der Open Telekom Cloud werden derzeit bereitgestellt. Alternativ können Nutzer auch die Online-Updates von den Herstellern installieren und ihre virtuellen Maschinen dann neu starten.

Bis alle Patches bereitstehen und überall installiert sind, gibt es ein paar Dinge, die Nutzer tun können, um ihre Risiken zu begrenzen:

  • Durch die Verwendung von dedizierten Hosts hat kein anderer Open Telekom Cloud-Kunde Zugriff auf die Umgebung eines anderen. Potenzielle Exploits gegen den Hypervisor führen daher nur zu Datenlecks zwischen virtuellen Maschinen desselben Kunden.
  • Darüber hinaus ist es immer eine gute Idee, Vorsicht walten zu lassen, bei der Ausführung von nicht vertrauenswürdigem Code (z. B. JavaScript aus dem Internet), auch wenn dieser in einer eigentlich sicheren Sandbox-Umgebung ausgeführt wird.
  • Deaktivierung von eBPF für nicht privilegierte Benutzer unter Linux (das ist in den aktualisierten Images bereits voreingestellt).

Alle Details und den aktuellen Status entnehmen Sie diesem Dokument, das von Telekom Experte Kurt Garloff laufend aktuell gehalten wird. Weitere Informationen finden Sie außerdem in diesem Beitrag auf der Konzern-Website der Deutschen Telekom und in Kurt Garloffs Artikel "Gespensterjagd" auf heise.de.

Kurt Garloff im Interview: Das steckt hinter Spectre und Meltdown


Jetzt direkt buchen und 250 € Startguthaben sichern

 

Haben Sie Fragen?

Wir beantworten Ihre Fragen zu Testmöglichkeit, Buchung und Nutzung – kostenfrei und individuell. Probieren Sie es aus! Hotline: 24 Stunden am Tag, 7 Tage die Woche
0800 3304477 aus Deutschland / 00800 33044770 aus dem Ausland

  • Communities

    Die Open Telekom Cloud Community

    Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

    Jetzt entdecken 

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

     0800 3304477 (aus Deutschland)

     
    +800 33044770 (aus dem Ausland)

     
    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben