최근 인텔 CPU 취약점이 발표되었습니다. 관련해 현재 시스템 관리자들은 보안 패치가 적용된 업데이트 준비에 바쁩니다. 애저(Azure) 서비스에 올려놓은 가상 머신(VM)은 어떻게 이번 CPU 취약점 사태에 대응할까요? 마이크로소프트 애저 보안 블로그에 1월 3일 자로 올라온 간단한 안내 문서를 정리해 보았습니다.
마이크로소프트는 발 빠르게 대응하여 애저의 중요 인프라를 업데이트한 상태입니다. 마이크로소프트가 하이퍼바이저 수준에서 애저 인프라에 보안 업데이트를 적용했습니다. 따라서 최근 애저 정기 유지보수(Planned maintenance) 관련 공지를 받고, VM을 재부팅했다면 더 신경 쓸 필요가 없습니다.
그렇다면 아직 정기 유지보수 전이라면? 1월 3일 현재 마이크로소프트는 이번 보안 취약점 관련해 영향을 받을 수 있는 다른 고객들의 정기 유지보수 시점도 앞당겨 보안 업데이트가 필요한 VM을 대상으로 자동 재부팅을 시작합니다. 시작 시간은 미국 현지 시각(PST) 기준으로 1월 3일 오후 3시 30분부터입니다. 업데이트 동안 마이크로소프트는 가용성 세트, VM 확장 세트, 클라우드 서비스에 대한 SLA를 유지합니다. VM 서브셋만 재부팅 하므로 가용성에 영향을 끼치지 않은 상태에서 작업이 이루어지므로 VM의 운영체제와 데이터 디스크는 유지됩니다. 보안 업데이트 관련 VM 재부팅 완료 여부는 애저 포탈에 있는 'Azure Service Health Planned Maintenance Section'을 통해 확인할 수 있습니다.
그렇다면 아직 정기 유지보수 전이라면? 1월 3일 현재 마이크로소프트는 이번 보안 취약점 관련해 영향을 받을 수 있는 다른 고객들의 정기 유지보수 시점도 앞당겨 보안 업데이트가 필요한 VM을 대상으로 자동 재부팅을 시작합니다. 시작 시간은 미국 현지 시각(PST) 기준으로 1월 3일 오후 3시 30분부터입니다. 업데이트 동안 마이크로소프트는 가용성 세트, VM 확장 세트, 클라우드 서비스에 대한 SLA를 유지합니다. VM 서브셋만 재부팅 하므로 가용성에 영향을 끼치지 않은 상태에서 작업이 이루어지므로 VM의 운영체제와 데이터 디스크는 유지됩니다. 보안 업데이트 관련 VM 재부팅 완료 여부는 애저 포탈에 있는 'Azure Service Health Planned Maintenance Section'을 통해 확인할 수 있습니다.
현재 업데이트 적용이 성능에 영향을 끼친다는 보고는 없습니다. 마이크로소프트는 애저 고객을 위해 CPU와 디스크 I/O 패스를 최적화하였고, 그 결과 이번 보안 업데이트 관련 성능 이슈가 보도되지 않고 있습니다. 몇몇 고객의 경우 네트워크 성능 이슈를 겪을 수 있는데, 이 문제는 Azure Accelerated Networking 기능으로 튜닝하여 해결할 수 있습니다.
