適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット
この記事では、多くの最新のプロセッサとオペレーティング システムに影響を与える新しいクラスのシリコン ベースのマイクロ アーキテクチャおよび投機的実行サイド チャネルの脆弱性に関するガイダンスを提供します。 これには、Intel、AMD、ARM が含まれます。 これらのシリコンベースの脆弱性の特定の詳細については、次のセキュリティ アドバイザリと CVE を参照してください。
- ADV180002 - 投機的実行サイドチャネルの脆弱性を軽減するためのガイダンス
- ADV180012 - 投機的 Microsoft Store バイパスに関する Microsoft ガイダンス
- ADV180013 - 不正なシステム レジスタ読み取りに関する Microsoft ガイダンス
- ADV180016 - 遅延 FP 状態の復元に関する Microsoft ガイダンス
- ADV180018 - L1TF バリアントを軽減するための Microsoft ガイダンス
- ADV190013 - マイクロ アーキテクチャ データ サンプリングの脆弱性を軽減するための Microsoft ガイダンス
- ADV220002 - Intel プロセッサ MMIO の古いデータの脆弱性に関する Microsoft ガイダンス
- CVE-2022-23816 - AMD CPU 分岐タイプの混乱
- CVE-2022-21123 - AMD CPU 分岐タイプの混乱
これらの CPU の脆弱性の開示により、より明確さを求めるお客様からの質問が発生しています。
Microsoft は、クラウド サービス全体に軽減策を展開しました。 Azure を実行し、顧客ワークロードを互いに分離するインフラストラクチャは保護されています。 つまり、同じインフラストラクチャを使用する潜在的な攻撃者が、これらの脆弱性を利用してお客様のアプリケーションを攻撃することはできません。
Azure では、可能な限りメモリ保持メンテナンスを使用することで、お客様への影響を最小限に抑え、再起動を不要にしています。 Azure では、システム全体に及ぶ更新をホストに対して行う際は、引き続きこうした手法を活用しながらお客様を保護します。
Azure にさまざまな角度から組み込まれているセキュリティについて詳しくは、「Azure のセキュリティのドキュメント」サイトをご覧ください。
注
このドキュメントが初めて公開されて以来、この脆弱性クラスについて同様の記事がいくつか開示されてきました。 Microsoft は今後もお客様の保護とガイダンスの提供に積極的に投資していく予定です。 引き続き解決策を公開していくために、このページは随時更新されます。
VM 内で信頼できないコードを実行しているお客様はすべての脆弱性に関する詳細なガイダンスを以下で参照することで、これらの脆弱性から保護するためのアクションをとる必要があります。
それ以外のお客様は、多層防御の観点から脆弱性を評価し、選択した構成のセキュリティとパフォーマンスに関する関連事項を考慮する必要があります。
オペレーティング システムを最新の状態に保つ
Azure 上で実行されているアプリケーションを他の Azure 顧客から分離する目的で OS を更新する必要はありませんが、ソフトウェアを最新に保つことは常にベスト プラクティスです。 Windows 用の最新のセキュリティ更新プログラムには、これらの脆弱性に対する軽減策が含まれています。 同様に、Linux ディストリビューションからも、これらの脆弱性に対処するための更新プログラムが複数リリースされています。 オペレーティング システムを更新するうえで Microsoft が推奨している操作は以下のとおりです。
| オファリング | 推奨される操作 |
|---|---|
| Azure クラウド サービス | 自動更新を有効にするか、最新のゲスト OS を実行していることを確認します。 |
| Azure Linux Virtual Machines | オペレーティング システム プロバイダーから入手した更新プログラムをインストールします。 詳細については、このドキュメントで後述する Linux に関する情報を参照してください。 |
| Azure Windows Virtual Machines | 最新のセキュリティ ロールアップをインストールします。 |
| その他の Azure PaaS サービス | これらのサービスを使用しているお客様が行う必要のある操作はありません。 Azure では、お使いの OS バージョンが自動的に最新に保たれます。 |
信頼できないコードを実行している場合の追加のガイダンス
信頼できないユーザーに任意のコードの実行を許可しているお客様は、Azure Virtual Machines またはAzure Cloud Services 内に追加のセキュリティ機能を実装することをお勧めします。 投機的実行に関するいくつかの脆弱性によって説明されるプロセス間の開示ベクターは、こうした機能によって保護することになります。
より多くのセキュリティ機能が推奨されるシナリオの例を以下に示します。
- 自分の VM 内で、信頼できないコードの実行を許可している。
- "バイナリまたはスクリプトのアップロードをいずれかの顧客に許可していて、その後、自分のアプリケーション内で実行してしまうなど"。
- 自分の VM 内に、信頼できないユーザーが低い特権のアカウントを使用してログインすることを許可している。
- "リモート デスクトップや SSH を使っていずれかの VM にログインすることを権限の低いユーザーに許可しているなど"。
- 入れ子になった仮想化を使って実装された仮想マシンにアクセスすることを、信頼できないユーザーに許可している。
- "Hyper-V ホストを管理しているのは自分だが、その VM を信頼できないユーザーに割り当てているなど"。
信頼できないコードが含まれるシナリオを実装しないお客様は、これらの追加セキュリティ機能を有効にする必要はありません。
追加のセキュリティの有効化
信頼できないコードを実行している場合は、VM またはクラウド サービス内でより多くのセキュリティ機能を有効にすることができます。 VM 内またはクラウド サービス内でセキュリティ機能を有効にするために、オペレーティング システムが最新の状態になっていることも並行して確かめてください
ウィンドウズ
これらの追加のセキュリティ機能を有効にするには、ターゲットオペレーティングシステムが最新である必要があります。 多くの軽減策が既定では有効になっていますが、ここで説明する追加機能は手動で有効にする必要があり、パフォーマンスに影響を与える可能性があります。
オプション 1
手順 1:KB4072698 の手順に従い、SpeculationControl PowerShell モジュールを使って、保護が有効になっていることを確認します。
注
このモジュールをダウンロード済みであっても、インストールするのは最新バージョンであることが必要です。
これらの脆弱性に対する有効な保護を検証する場合は、Get-SpeculationControlSettings PowerShell スクリプト出力の理解に関するページを参照してください。
保護が有効ではない場合は、Azure サポートに連絡し、ご利用の Azure VM に対する追加の制御を有効にしてください。
手順 2: カーネル仮想アドレス シャドウ処理 (KVAS) とブランチ ターゲット インジェクション (BTI) の OS サポートを有効にするには、KB4072698 の手順に従い、Session Manager のレジストリ キーを使用して保護を有効にします。 再起動が必要です。
手順 3:入れ子になった仮想化を使ったデプロイの場合 (D3 と E3 のみ): これらの手順は、Hyper-V ホストとして使用している VM 内でのみ当てはまります。
-
KB4072698 の手順に従い、
MinVmVersionForCpuBasedMitigationsのレジストリ キーを使用して保護を有効にします。 -
Coreの手順に従って、ハイパーバイザーのスケジューラの種類を に設定します。
オプション 2
VM 上でハイパースレッディングを無効にする - ハイパースレッド化された VM 上で信頼されていないコードを実行しているお客様は、ハイパースレッディングを無効にするか、ハイパースレッド化されていない VM サイズに移行するかを選択できます。 ハイパースレッド化された VM サイズの一覧については、こちらのドキュメントを参照してください (ここで、vCPU とコアの比率は 2:1 です)。 VM でハイパースレッディングが有効になっているかどうかを確認するには、VM 内で Windows コマンド ラインを使用して以下のスクリプトを参照してください。
対話型インターフェイスに入るには、「wmic」と入力します。 次に、以下のコマンドを入力して、VM 上の物理および論理プロセッサの量を表示します。
CPU Get NumberOfCores,NumberOfLogicalProcessors /Format:List
論理プロセッサの数が物理プロセッサ (コア) よりも多い場合は、ハイパースレッディングが有効になっています。 ハイパースレッド化された VM を実行している場合は、Azure サポートに問い合わせて、ハイパースレッディングを無効にしてください。 ハイパースレッディングが無効になると、サポートで VM の完全な再起動が必要になります。 VM コア数が減少した理由については、「コア数」を参照してください。
オプション 3
CVE-2022-23816 と CVE-2022-21123 (AMD CPU 分岐種類の混乱) の場合、上のオプション 1 およびオプション 2 の両方に従います。
Linux
追加的なセキュリティ機能一式を内部で有効にするためには、ターゲットのオペレーティング システムが完全に最新の状態にあることが必要です。 一部の軽減策については、既定で有効になります。 次のセクションで説明している内容は、既定でオフになっている機能や、ハードウェア サポート (マイクロコード) に依存している機能が対象となります。 これらの機能を有効にすると、パフォーマンスに影響が生じることがあります。 詳しい手順については、オペレーティング システムのプロバイダーのドキュメントを参照してください
手順 1: VM 上でハイパースレッディングを無効にする - ハイパースレッド化された VM 上で信頼できないコードを実行しているお客様は、ハイパースレッディングを無効にするか、ハイパースレッド化されていない VM に移動する必要があります。 ハイパースレッド化された VM サイズの一覧については、こちらのドキュメントを参照してください (ここで、vCPU とコアの比率は 2:1 です)。 ハイパースレッド化された VM を実行しているかどうかを確認するには、Linux VM で lscpu コマンドを実行します。
Thread(s) per core = 2 の場合、ハイパースレッディングが有効になっています。
Thread(s) per core = 1 の場合、ハイパースレッディングが無効になっています。
ハイパースレッディングが有効になっている VM の出力例:
CPU Architecture: x86_64
CPU op-mode(s): 32-bit, 64-bit
Byte Order: Little Endian
CPU(s): 8
On-line CPU(s) list: 0-7
Thread(s) per core: 2
Core(s) per socket: 4
Socket(s): 1
NUMA node(s): 1
ハイパースレッド化された VM を実行している場合は、Azure サポートに問い合わせて、ハイパースレッディングを無効にしてください。 ハイパースレッディングが無効になると、サポートでは VM の完全な再起動が必要になります。 VM コア数が減少した理由については、「コア数」を参照してください。
手順 2: 以下の CPU ベースのメモリの脆弱性を軽減するには、オペレーティング システム プロバイダーのドキュメントを参照してください:
コア数
ハイパースレッド化された VM が作成されると、Azure によってコアあたり 2 つのスレッドが割り当てられます。これらは vCPU と呼ばれます。 ハイパースレッディングが無効にされると、Azure によってスレッドが削除され、1 つのスレッド化されたコア (物理コア) が表示されます。 vCPU と CPU の比率は 2:1 なので、ハイパースレッディングが無効になると、VM 内の CPU 数は半分に減少したように見えます。 たとえば、D8_v3 VM は、8 個の vCPU (コアあたり 2 スレッド × 4 コア) 上で実行されるハイパースレッド化された VM です。 ハイパースレッディングが無効にされると、CPU はコアあたり 1 スレッドの 4 物理コアに低下します。
次の手順
Azure のあらゆるアスペクトにセキュリティを統合する方法の詳細については、「Azure のセキュリティ ドキュメント」 を参照してください。