如何不在安全與性能之間二選一

時(shí)間：2022-03-31 22:36:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-31 22:36:01 來源：行業(yè)動(dòng)態(tài)

由于Meltdown和Spectre問題來源于CPU，最根本的解決辦法就是改變CPU從內(nèi)存和磁盤讀取數(shù)據(jù)的方式，實(shí)現(xiàn)既不損失性能又有安全保障。但是這是一個(gè)很艱巨的任務(wù)，很難在短期內(nèi)實(shí)現(xiàn)。

Mellanox公司亞太及中國區(qū)市場(chǎng)開發(fā)高級(jí)總監(jiān)宋慶春在接受至頂網(wǎng)采訪時(shí)表示，當(dāng)前的最佳解決方案就是盡量做到CPU Offload，減少內(nèi)核層和用戶層之間的溝通， 比如使用RDMA技術(shù)來Bypass CPU，使用NVMe over Fabric Offload來將CPU操作的內(nèi)核拷貝跳過，使用GPU Direct RDMA技術(shù)跳過GPU內(nèi)存和CPU內(nèi)存的拷貝等。另外使用網(wǎng)卡硬件來做應(yīng)用和應(yīng)用之間的安全隔離來避免使用CPU來做軟件隔離，也是預(yù)防漏洞的有效方法之一。

所以，解決Meltdown和Spectre問題的關(guān)鍵就是減少CPU和應(yīng)用的溝通，RDMA和智能網(wǎng)卡做的就是讓CPU盡量只做計(jì)算，所有通訊和安全的操作由網(wǎng)絡(luò)來做，從而切斷黑客訪問應(yīng)用的途徑。此外，還包括DPDK技術(shù)，它們實(shí)際是把原來由內(nèi)核操作的很多工作放到用戶態(tài)去做，這樣很多操作就跟內(nèi)核態(tài)沒有關(guān)系了。通過在用戶態(tài)之間建立應(yīng)用和應(yīng)用之間隔離，避免和內(nèi)核態(tài)之間的交互，來降低這些漏洞帶來的風(fēng)險(xiǎn)?，F(xiàn)在RDMA技術(shù)已經(jīng)被廣泛應(yīng)用到了各種各樣的應(yīng)用當(dāng)中，從很多采用RDMA的應(yīng)用來看，可以看到它被Meltdown和Spectre這兩個(gè)漏洞影響的機(jī)會(huì)非常小，而且對(duì)性能的影響非常低，甚至做到?jīng)]有影響。 宋慶春說。

所以，這在另一個(gè)層面又回到了卸載技術(shù)與加載技術(shù)的爭(zhēng)論。卸載技術(shù)尋求克服CPU的性能瓶頸，主要方式是對(duì)在集群內(nèi)移動(dòng)的數(shù)據(jù)執(zhí)行各種網(wǎng)絡(luò)功能以及復(fù)雜的通信操作，如協(xié)同操作和數(shù)據(jù)聚集操作。以Mellanox為代表的網(wǎng)絡(luò)廠商推出了卸載技術(shù)（如 RDMA 和 DPDK）， 將處理TCP/IP和存儲(chǔ)堆棧的重任轉(zhuǎn)移至網(wǎng)絡(luò)適配器，緩解主要系統(tǒng)處理器的壓力。這樣可以提升性能，并緩解了修補(bǔ)Spectre 和Meltdown 后通常造成的性能損失。