有传言称 Meltdown 补丁会导致 30% 的性能损失,如果可能的话最好避免。所以这变成了一个安全与性能风险评估问题。
我正在寻找一个经验法则来评估不修补服务器或管理程序的风险。
通过阅读白皮书,我的理解是,如果您的机器出现以下情况,您肯定需要应用补丁:
- 是一个运行随机潜在恶意代码的工作站 -事实证明,包括来自随机网站的 java 脚本,
- 是一个可能运行恶意代码的虚拟机(这基本上成为第一种情况)。
- 是一个虚拟机管理程序,它在敏感虚拟机旁边运行不受信任的虚拟机(这基本上成为第一种情况),
我的理解是,在以下情况下风险(显着)较低:
- 服务器在专用硬件上运行,在严格控制的网络中运行一组严格控制的进程(包括不使用 Web 浏览器访问不受信任的站点)
- 虚拟机在其他严格控制的虚拟机的虚拟化堆栈上运行一组严格控制的进程,所有这些都在一个严格控制的网络中。
这个逻辑是合理的,还是我错过了什么?
更新:Azure 中补丁的早期采用者报告没有明显的减速,所以这可能都没有实际意义。