VxRailのSimShipがvSphereの緊急パッチにどれくらい追随できているのかを調べてみた
VxRailはVMware社とのシンクロリリースを掲げていることは広く認知されているかと思います。
本記事ではそのシンクロリリースのSLOがどれくらい達成されているのかを確認してみました。
VxRailとは?
VxRailはDell Technogologies社とVMware社が共同開発したHCIアプライアンスであり、vSANベースのHCIです。vSANを利用したHCIソリューションは、VxRailだけではなく、各サーバベンダーが提供するvSAN ReadyNodeや、他ベンダーが提供するHCIもあります。(FUJITSU社のPRIMEFLEXなど)
その中でもVxRailはアップグレード機能とサービスが特に充実しており、HCIのメリットである運用管理負荷軽減に大きく寄与できる製品といえます。
シンクロリリースとは?
VxRailはDell Technologies社とVMware社の共同開発を謳っており、随所に特別な連携が見られます。
シンクロリリースもそのうちの一つであり、VMware社が新しく出したESXiリリースに追随する形で短期間の間に同じリリースを含むVxRailを提供するためのリリースポリシーです。
VxRailシンクロリリースの詳細については以下のKBにて公開されております。
https://www.dell.com/support/kbdoc/000182153
シンクロリリースについては以下の記事もわかりやすいかと思います。
⑧VxRail のロードマップのキホン - Dell Community
ランサムウェアに狙われるESXi
昨今ではESXiがランサムウェアに狙われているということもあり、優秀なアップグレード機能によって脆弱性パッチを迅速に適用できるVxRailのメリットが活かしやすくなっていますが、Fixを含む最新のリリースに対応していなければ、自慢のアップグレード機能も意味を成しません。
先ほどのKBを確認すると、脆弱性関連の緊急パッチに対するリリースポリシーは14 calendar
daysとなっていますので、期待値的には14日以内にリリースされていると考えられますが実際のところはどうなのでしょうか?
平均追随日数を実績から確認
実際にするにあたって以下の基準を利用しています。
①VMware Security Advisory(VMSA)にて報告のある脆弱性とFixed
Versionが対象
VMSAに記載から確認できないものは対象外とします。
②緊急性やCVSSスコアが低いものは除外する
CVSSスコア(8.0以上)やVMware社の対応の迅速性やWorkAround有無などから総合的に判断しています。
CVSSスコアはCritical(9.0以上?)とした方が区切りが良いかと思いましたが、それだと対象がなくなってしまうので8.0以上を基準にしています。
③vSphere 7 のみを対象とする(ESXi および vCenter)
シンクロリリースが施行されたメジャーリリースであるvSphere7のみを対象とします。vSphere6.xでは途中からの情報しか取れず、また、VMSAで遡れる範囲の兼ね合いもあります。
シンクロリリースではESXiのみが対象とされていますが、今回の確認ではvCenterに対する重要な脆弱性もスコープに含みます。
④WorkAroundがないものを対象とする
脆弱性への対処はパッチ適用だけではなく、発表直後はWorkAroundの適用が主流な場合もあります。
WorkAroundがあれば必ずしもパッチ適用をする必要はないため、パッチ適用の緊急性の観点からWorkAroundがあるものは除外します。
上記4つの基準に照らし合わせて抽出したVMSA、VMware Fix Version、VxRail Fix Version、VxRailリリースに要した日数を表にしてみました
VMSA |
VMware Fix Version |
VxRail |
Release Delay |
ESXi70U1b-17168206 |
7.0.101 |
14 |
|
vCenter 7.0 U2b (*1) |
7.0.201 |
10 |
|
vCenter 7.0 U2c |
7.0.240 |
15 |
|
|
vCenter 7.0 U2d |
7.0.241 |
6 |
ESXi70U3c-19193900 |
7.0.320 |
5 |
(*1) WorkAround(vSAN Plugin無効化)が存在しますが、 VxRail環境では機能低下につながるため対象に含めています。
今回の基準においては平均追随日数は10 Calendar Days となりました。
SLO Miss も一件ありましたが、平均としてはSLO を達成していることが分かりました。
講評とまとめ
平均追随日数については、リリース前に要するテストや手続きを考慮すると暦日勘定での平均10日の結果は、脆弱性パッチリリースの迅速性の観点では妥当性のある日数ではないかと思います。
今回の確認作業のなかで意外だったのは、思ったよりも対象が少ないことです。当初はCVSSスコアがCritialのものやESXiのみに絞ったフィルターで抽出していましたが、対象がなくなったり母数が少なすぎたりしてしまったので、基準と範囲を調整した背景があります。
母数を決定した最も大きな要因はWorkAround有無であったと思います。今回の対象にはここ1年で話題となった重大な脆弱性についてのパッチは含まれておりませんが、その理由はWorkAroundが存在したためです。
最近ESXiへのランサムウェア攻撃で利用されたOpenSLPの脆弱性や、昨年IT業界全体で大きな話題となったLog4jの脆弱性のパッチは発表当初からWorkAroundが存在したため、必ずしもパッチ適用による対処を必要としませんでした。
今回の確認ではvSphereでの脆弱性FixリリースからVxRailリリースまでの追随日数を確認しましたが、そもそも脆弱性発見からvSphereのFix リリースまでに日数を要する場合もあります。その場合はWorkAroundが重要な対策になるため、ランサムウェアなどのサイバー攻撃から環境を守るためには、迅速なパッチ適用以上にWorkAroundを適用するだけの柔軟性と余裕のある運用が重要であることを改めて気づかされる結果となりました。
コメント
コメントを投稿