CPUの脆弱性（CVE-2017-5715およびCVE-2017-5753(Spectre)）に対するサービス基盤の対応による性能影響について教えてください。

Enterprise Cloud 2.0 仮想サーバーにおけるVMを収容しているホストについて、CVE-2017-5715およびCVE-2017-5753(Spectre)の脆弱性を緩和するためのサービス基盤側の対応実施前後の性能影響につきまして、Unixbenchで検証を行った結果をご案内いたします。

Unixbenchの結果より、サービス基盤側の対応による性能影響はほぼないことが確認されておりますが、ゲストOS上のパッチ適用につきましては、間接分岐の予測を制限する(IBRS)方式とRetpolineという手法を用いた場合で性能差があり、Retpoline方式の方が性能低下を抑えることが期待できます。

[2018/11/9追記]

■サービス基盤(ホストOS)の対応(NTT Com実施)
・下記の検証条件におけるサービス基盤側の脆弱性対応によるUnixbenchでの性能影響はほぼないことが確認されておりますが、お客さま環境によっては、CPU、メモリ、スループット等が低下する可能性がございます。影響度合いはお客さまのシステム環境に依存します。(特に、お客さまOS がWindows Server 2012 R2の際にみられる傾向がございます）
■お客さまOS(ゲストOS)側の対応(お客さま実施)
・上記ご案内のとおり、お客さまOS上でも脆弱性対応を有効にすると性能影響を与える可能性がございますので、予めご注意ください。

※ゲストOS上のパッチ適用に関する注意事項

・Retpoline方式

RedHat Enterprise Linux 7.3でRetpolineに対応したカーネルは

kernel-3.10.0-514.44.1.el7.x86_64 以降となります。（ https://access.redhat.com/errata/RHSA-2018:0399 ）

・IBRS方式

間接分岐の予測を制限する(IBRS)方式は、サービス基盤側の対応が行われた後に、

カーネルをアップデートしたお客さまインスタンスが停止・起動されることで初めて有効となります。

<Unixbench Tests検証結果に関する注釈>

・各ケースの内容につきましては下記を参照ください。

・Case-A

　サービス基盤側の対応実施前かつゲストOS上パッチ適用なし（kernel version: kernel-3.10.0-514）

・Case-B

　サービス基盤側の対応実施後かつゲストOS上パッチ適用なし（kernel version: kernel-3.10.0-514）

・Case-C

　サービス基盤側の対応実施後かつゲストOS上パッチ適用済（IBRS方式 ）（kernel version: kernel-3.10.0-693.11.6.el7.x86_64）

・Case-D

　サービス基盤側の対応実施後かつゲストOS上パッチ適用済（Retpoline方式 ）（kernel version: kernel-3.10.0-693.21.1.el7.x86_64 ）

・いずれもRed Hat Enterprise Linuxのオフィシャルイメージから作成したVM、かつRed Hat Enterprise Linuxのデフォルト設定の状態Unixbenchを行った結果となります。

・Unixbenchのテスト項目の内容につきましては下記を参照ください。

・本検証結果はあくまで参考値であり、性能を保証するものではありませんので、予めご了承ください。

参考： CPU脆弱性（CVE-2017-5754（Meltdown）/CVE-2017-5715およびCVE-2017-5753(Spectre)）の対応状況