L1TF(CVE-2018-3646)とESXiとESXi サイドチャネル対応スケジューラ(SCAv2)
ずいぶん前に話題になったCPU脆弱性のL1TF。HWの問題のため、緩和策対応は可能だが性能劣化が懸念されて悩ましいと考えていたが、最近VMwareの別のKB(56931)を見ると、緩和策で用いるESXi サイドチャネル対応スケジューラ(SCA) には2種類あると書かれていることに気づいた。
■vSphere 用 Intel プロセッサにおける「L1 Terminal Fault」(L1TF - VMM) 投機的実行の脆弱性に対する VMware の対応 CVE-2018-3646 (55806)
■HTAware 軽減策ツールの概要および使用法 (56931)
- SCAv1
ハイパー スレッド対応コアの 1 つの論理プロセッサ(ハイパースレッド)にのみスケジュールを設定します。 その結果、このスケジューラを有効にすると、使用可能なホスト キャパシティが減少し、現在使用可能なホスト キャパシティに応じて仮想マシンのパフォーマンスが影響を受ける可能性があります。 - SCAv2
ESXi 6.7u2以降で導入された機構で、仮想マシンから仮想マシンや仮想マシンからハイパーバイザーへの情報漏洩を抑止する一方で SCAv1 で確認されたパフォーマンスの問題が改善されています。
以下ホワイトペーパーに記載があるが、SCAv2は保護の範囲を少し緩めることでセキュリティとパフォーマンスのバランスを取る選択肢に見える。