確保Azure用戶免於CPU安全漏洞的威脅

1月3日揭露了一個全科技業、硬體的安全性漏洞。確保客戶的安全永遠是我們的第一優先順序。我們正在採取積極措施,確保沒有 Azure 客戶暴露於這些漏洞。在這篇部落格公佈之時,微軟沒有收到任何資訊顯示這些漏洞被用來攻擊 Azure 客戶。

 

絕大多數 Azure 的基礎架構已經更新,以解決此漏洞。Azure 的某些部份仍在進行更新,需要重新開機客戶的VM才能使安全更新生效。您當中的許多人在最近幾周收到了 Azure 計畫性維護的通知,並且已經重新開機VM以應用此修復程式,因此不需要您再採取進一步的操作。

 

由於安全性漏洞在今天公開披露了,我們正在加快計畫性維護的進程,並將在2018年1月3日從下午3:30太平洋標準時間 (即台灣時間1月4日早上7:30) 開始自動重新開機其餘受影響的 VM。為開始此加速更新,為某些客戶提供的「自助維護」視窗現已結束。

 

在本次更新過程中,我們將維持Availability Set、VM Scale Set和Cloud Services的服務等級協定(SLA)承諾。這將減少對可用性的影響,並且只在任何給定時間重新開機VM的子集(subset)。這將確保遵循 Azure 的高可用性指南的任何解決方案仍然可供您的客戶和使用者使用。在此維護期間,將保留 VM 上的作業系統和資料磁片。您可以看到您的虛擬機器的狀態,並且在您的 Azure Portal上,Azure Service Health中的Planned Maintenance單元,了解重新開機是否已完成。

 

大多數 Azure 客戶不會感受到此更新對性能產生的顯著影響。我們也進行效能的優化,在更新Hotfix的主機上在CPU 與磁碟IO上並沒有明顯效能的影響。一小部分客戶可能會遇到一些網路性能影響。這可以透過打開 Azure 加速網路 (Windows, Linux) 來解決,這是所有Azure 客戶都可以使用的免費功能。我們將繼續密切監視性能並解決客戶反應的問題。

 

此 Azure 基礎結構更新解決了在虛擬層上公開的漏洞,不需要更新您的 Windows 或 Linux VM 映像檔。但是,與往常一樣,您應該繼續為 VM 映像檔應用採取最佳安全做法。

 

常見問題:

Q 1 : 我的VM會被重啟嗎?之前已經做好self-maintenance的VM會受影響嗎?

A 1 : 原則上不會,但請一律到 Azure Service Health Planned Maintenance Page (或點選Azure Portal -> 服務健康狀況 (Azure Service Health) -> 規劃的維護 (Planned Maintenance) ->受影響的資源(Affected Resource)查看。

  • 若狀態是Scheduled:表示您的VM會被重啟。
  • 若狀態是Completed 或Already updated,或Service Health 裡面沒有該VM,代表已更新完成。

Q 2 : 若自行重開VM,是否確保已被patched?

A 2 : 不保證,重開機後不一定會被patched,請以Scheduled maintenance為主。

Q 3 : Scheduled maintenance需要多久?

A 3 : 一般狀況下,30分鐘內會完成。

Q 4 : 是否能知道VM何時會被重啟?

A 4 : 無法事先知道,但可以設定scheduled events,會在重啟前15分鐘通知您:

Q 5 : 除了Azure VM 之外,Azure PaaS的服務會受影響嗎?

A 5 : 不會。

Q 6 : 之前已經完成過Self-Maintenance的VM還會被影響嗎?

A 6 : 於1/3前完成Self-Maintenance的VM,已經執行在已更新的主機上,所以不會有影響。

Q 7 : 排定於此次Scheduled Maintenance的VM,重啟後temporary disk 資料是否會遺失?

A 7 : 不會。

Q 8 : 有沒有官方的公開資訊?

A 8 : Microsoft Official Blog Post on the same topic –  https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

【新聞照片一】

Tags: ,

相關文章