2018/01/16

翻訳: New Relic Infrastructure を使って、Spectre と Meltdown に対するパッチを当てる対象を探す方法

最近話題の Spectre と Meltdown の脆弱性に関する記事。New Relic Infrastructure を使えば、対策が必要なホストを絞り込む方法やパフォーマンスを確認する方法いついて紹介しています。


タイトル: Discovering Where to Patch Spectre and Meltdown Using New Relic Infrastructure
著者: Kevin Downs
公開日: 2018.01.11


最近、Spectre と Meltdown の脆弱性についてよく耳にしたことでしょう。これは、多くのコンピュータの中央処理装置(CPU)内のカーネルメモリを読み取られる恐れのある深刻なバグです。過去数年間に製造されたほとんどすべてのコンピュータが影響を受けていることが報告されており、早急にシステムにパッチを当てたり、更新する必要があります。

Meltdown と Spectre に関する技術的な詳細については多くの場所で書かれています。しかし、ここでは、私が使っている個人的な Amazon Web Services (AWS)のインフラ上で、New Relic Infrastructure を使ってパッチを当てる必要のあるホストを見つける方法を紹介します。同様の手順で、他のクラウドベンダーやオンプレミスのインフラでも、パッチを適用するホストを特定することができます。

Spectre と Meltdown にパッチを当てる前に調べること

脆弱性を公開している AWS の Processor Speculative Execution Research Disclosure 誌によれば、AWS は AWS 共有責任モデルで保証されているように、必要なシステムには既にパッチを適用済みです。この契約では、AWSは「AWS クラウドで提供しているすべてのサービスを実行しているインフラを保護する責任がある」と述べています。そして、顧客は「インスタンス上に顧客自身がインストールしたゲスト OS(更新およびセキュリティパッチを含む)」をメンテナンスする責任があります。

よって、この記事のガイダンスでは、AWS は顧客自身のホストインスタンスを更新するよう提案しています。私は Amazon Linux を利用しています。その場合は、各インスタンスのカーネルパッケージの更新が必要だとわかりました。

更新が必要なインスタンスを探す

New Relic Infrastructure のホストフィルタリングを使って、正しいカーネルパッケージがないインスタンスを全て洗い出します。

Infrastructure のインベントリページから、バリアントに基づいてパッチを適用すべきインスタンスを見つけることもできます。この方法については、ドキュメントの
Infrastructure Inventory ページを使用してインフラを検索するをご覧ください。

OS とカーネルバージョンでホストを絞り込む手順は以下の通りです。

  1. New Relic で、Infrastructure タブを選択する。
  2. FILTER HOSTS をクリックする。
  3. operatingSystem をクリックし、フィルターする OS を選択する。
  4. kernelVersion をクリックし、パッチ適用済みの新バージョンと一致しないカーネルを選択する。

上記を実行すると、New Relic はカーネルパッケージの更新が必要なホストインスタンス一覧を表示します。簡単ですよね!

更新の必要があるインスタンスを見つけるのは簡単でしたね。適切な手順に従い OS を更新してください。また、インスタンスにパッチを当てたり、更新する前に、あなたの会社の変更管理プロセスを確認してください。

パッチを適用する前に、時間を記録しておく

脆弱性に対応する際はできるだけ詳細に追跡することは、常に良い習慣です。インスタンスを更新する前に、日付と時刻を記録しておきましょう。そうすることで、New Relic Infrastructure を使って、更新前の CPU 使用率とパッチの実行後の使用状況と比較することができます。

前のセクションで作成したフィルタを使って、ベンチマーク対象のインスタンスを確認しましょう。

ここでは、パッチを適用する前のインスタンスの例を示します。各ホストで使用されている CPU 使用率、CPU ユーザー 率、CPU システム率、メモリー使用率を測定しています。これは、パッチ中のパフォーマンスを監視するための重要なメトリックです。

あなたの所見を共有してください

この最新の業界を席巻したパニックは、20年間存在していたものでした。しかし、New Relic を使えば、修正が必要なインスタンスかや、その修正がインフラの使用率やアプリケーションのパフォーマンスに影響を与えたかどうかの確認には、たった数分しかかかりません。

New Relic では、マイクロソフトRed Hat など、この脆弱性の対応によるインフラのパフォーマンスへの影響をテストしている外部の情報にもチェックしています。

Spectre と Meltdown を経験した際のパフォーマンスや使用率の変更についてお聞かせください。New Relic のコミュニティフォーラムであなたの見解をシェアしてくだくさい。また、Twitter @newrelic などにメッセージをお寄せください。

Qiita で New Relic Advent Calendar 2017 いろいろ書きました。特に、New Relic APM の入門的な連載を書きましたので、是非、ご覧ください。

New Relic 公式の日本 New Relic ユーザー会を立ち上げました。ワークショップの情報など日本のお客様向けに情報を発信していきますので、是非、参加ください。

過去記事

2018/09/13

翻訳: FutureStack18: New Relic 開発者向けプログラム-オープン化、シンプル化、活発化への道

今年も始まりました。New Relic の年次カンファレンス FutureStack 18。
この記事では、Elixir 用の New Relic APM エージェントの発表とデベロッパープログラムの発表がされています。

続きを読む

2018/08/27

翻訳: New Relic APM 新機能: 分散トレーシング

New Relic APM にDistributed Tracing (分散トレーシング)機能が追加されました。メニュー単位で機能が追加されたのはだいぶなかったのではないかと思います。マイクロサービスにおけるサービスをまたがったデータの流れを可視化できる機能のようです。是非、チェックしてみてください。

続きを読む

2018/05/18

SREcon18 と Rails デベロッパー向けアンケート結果の紹介

SRECon America カンファレンスにおけるアンケートの記事と Rails デベロッパーに対するアンケートの記事という2つの異なったレイヤーのアンケートに関する記事を見つけたので、ざっくり紹介します。違った視点での傾向が見れてなかなか面白いです。

続きを読む

2018/05/11

AWS Summit Tokyo を中心に直近の New Relic 関連イベントのご紹介

5/30 から始まる AWS summit Tokyo に参加するということで、海外から New Relic スタッフが来日し、イベント等を行います。是非、この機会に New Relic に興味のある人は参加してみてはいかがでしょうか。(基本、日本人スタッフいるので、日本語でも大丈夫なはず)

続きを読む

2018/03/17

翻訳: New Relic Browser JavaScript Error Analytics ベータ版 – エラーの早期発見、修正に役立つ

New Relic Browser の JS エラー機能が新しくなるようです (現在ベータ版)。APM で採用されているエラープロファイルが JS エラーにも対応したようです。これによって、エラーが起きている傾向が分析できるようになり、今後の JS のエラーが起きる前に対策が取りやすくなります。既存の PRO ユーザーはベータ版が使えるようなので、是非、使ってみてください。

続きを読む

 もっと見る