La semana pasada publicamos un blog con recomendaciones sobre la seguridad de la plataforma de datos Couchbase en respuesta a las vulnerabilidades de seguridad de todo el sector. Seguimos analizando el posible impacto en el rendimiento causado por los binarios del sistema operativo parcheados y esta entrada del blog recoge la evaluación detallada.
Como se mencionó en el blog anterior, para que estos ataques sean factibles, los atacantes deben ser capaces de ejecutar procesos maliciosos en el mismo host y procesador que los procesos de la víctima. El riesgo de que este ataque se produzca en un entorno de producción controlado es bajo, ya que existen restricciones sobre las aplicaciones que se ejecutan.
Si puede controlar el acceso a una máquina, puede que no necesite (cuando proceda) para configurar los parámetros del kernel con el fin de habilitar las mitigaciones y, por tanto, no incurrir en una degradación del rendimiento.
Análisis de impacto
Cuando parchee su sistema operativo con los binarios disponibles actualmente para mitigar estos ataques, es probable que vea un aumento de la utilización de la CPU. Por ejemplo, el uso de la CPU aumentó alrededor de 20% durante una de nuestras pruebas. (Consulte la página de supervisión de su consola web para acceder a las estadísticas de los cubos).
Para evaluar el impacto en el rendimiento realizamos las siguientes pruebas
- Escenario 'A' - Couchbase Cluster está suficientemente dimensionado con capacidad adicional para el despliegue en producción.
- Escenario 'B' - Couchbase Cluster está dimensionado apropiadamente para manejar la carga existente, pero sin más capacidad disponible.
Carga de trabajo
Carga de trabajo A de YCSB con carga de trabajo mixta (50/50 lectura/escritura).
Escenario A
Ejecuté YCSB Workload A en Couchbase Cluster - 4 nodos, 2 buckets, Procesador Intel E5-2630 v4 con 20 núcleos hyper-threaded, 64GB RAM.
Comparamos el rendimiento entre el núcleo CentOS 7 sin parches 3.10.0-514.2.2' y parcheado 'CentOS 7 kernel 3.10.0.693.11.6' versión.
Resultados - El gráfico siguiente muestra Utilización de la CPU aumentó aproximadamente en 30% en las máquinas parcheadas. Sin embargo, el impacto en el rendimiento de Rendimiento y Latencia estaba por debajo de 5%, ya que estas máquinas tenían capacidad de CPU adicional para crecer.
|
|
Sin parches - CentOS 7 kernel 3.10.0-514.2.2 (en μs) | Parcheado - CentOS 7 kernel 3.10.0-693.11.6 (en μs) | |
| Latencia de lectura | Media | 187 | 196 |
| 95 | 213 | 228 | |
| 99 | 1,497 | 1,525 | |
| Latencia de escritura | Media | 209 | 219 |
| 95 | 236 | 254 | |
| 99 | 1,583 | 1,606 |
Escenario B
Ejecute YCSB Workload A en Couchbase Cluster - 3 nodos, 1 bucket, Procesador Intel E5-2680 v3 con 12 cores, 64GB RAM.
Resultados: El gráfico siguiente muestra Rendimiento y Latencia en la máquina parcheada se ve afectada ya que la CPU está funcionando cerca de la utilización máxima en estas máquinas.
|
|
Sin parches - CentOS 7 kernel 3.10.0-514.2.2 (en μs) | Parcheado - CentOS 7 kernel 3.10.0-693.11.6 (en μs) | |
| Latencia de lectura | Media | 847 | 1,318 |
| 95 | 2,627 | 4,093 | |
| 99 | 7,207 | 9,167 | |
| Latencia de escritura | Media | 879 | 1,352 |
| 95 | 2,703 | 4,163 | |
| 99 | 7,315 | 9,271 |
Conclusión
Recomendamos reevaluar el tamaño de su clúster Couchbase para asegurarse de que tiene capacidad de CPU adicional antes de aplicar el parche OS para tener un impacto mínimo en el rendimiento y la latencia.
