保护 Redis Enterprise 免受 Meltdown 和 Spectre 漏洞攻击

随着最近发现的安全漏洞 — Meltdown (CVE-2017-5754) 和 Spectre (CVE-2017-5753 和 CVE-2017-5715) — Redis 的 工程、开发运维和支持团队一直在努力确保我们的云服务，Redis Enterprise Cloud (REC) 和 Redis Enterprise VPC (REV)，受到保护。

截至目前，我们在 AWS、Azure、GCP 和 IBM Cloud 上的所有 REC 和 REV 集群都已由我们的云合作伙伴针对 Meltdown 进行了修补。此外，一些云供应商已经设法缓解了 Spectre 的分支目标注入 (CVE-2017-5715)。

Redis Enterprise Software (RES) 客户

• 在上述公共云上使用 RES（并在专用实例上部署 RES，而不在同一实例上共享其他应用程序）的客户可以依赖于虚拟机监控程序安全补丁。当禁用 Redis 模块或使用 Redis 认证模块时，隔离的 Redis 或 Redis Enterprise 实例不会受到 Meltdown 或 Spectre 的影响。
• 在本地使用 RES 的客户应部署内核页表隔离 (PKTI) 补丁。我们仍在等待所有主要发行版（例如 Amazon Linux、Red Hat Enterprise Linux 和 Ubuntu）的正式补丁发布，并将在未来几天内提供更多建议。

性能影响

Redis 的工程团队进行了一系列测试，以验证对我们云服务性能的影响。我们发现该补丁对我们的 Redis Enterprise VPC 服务的影响可以忽略不计，在 2.5% – 5% 之间，而对我们的 Redis Enterprise Cloud 服务的影响在 5%-30% 范围内，并且存在轻微的异常值，具体取决于集群实例类型和云基础设施。 我们的初步测试是在我们的 Redis on RAM 产品上进行的，我们计划在未来几天和几周内将这些测试扩展到我们的 Redis on Flash 产品。

在过去的几天里，我们已经成功地为几位客户缓解了性能问题。

来自我们的 REV 测试的片段

我们在 AWS 上测试了一个 3 节点 REV 集群，以下是我们发现的

在 Meltdown 修复之前

在 Meltdown 修复之后

我们观察到吞吐量的影响可以忽略不计（2.5%-5%），并且对延迟几乎没有影响。

测试参数

===========

Redis 团队