Protección alternativa para hosts de Hyper-V de WindowsServer2016 frente a vulnerabilidades de canal lateral de ejecución especulativa

Entre las mitigaciones recomendadas en la Guía de WindowsServer para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa se incluye la aplicación de firmware del sistema actualizado con el fin de sacar el máximo partido de todas las protecciones conocidas. En este tema se explica un mecanismo de protección alternativo frente a CVE-2017-5715 (inserción de destino de bifurcación) para hosts de Hyper-V de WindowsServer2016 que aún no tienen el firmware actualizado.

Estos hosts pueden configurarse para proporcionar aislamiento entre los procesadores virtuales (VP) usados para la partición raíz del host de Hyper-V y las máquinas virtuales invitadas. Hay dos características en Hyper-V de WindowsServer2016 que permiten dicha configuración:

  • La funcionalidad de raíz mínima o “Minroot” permite al administrador del host limitar la partición de host de Hyper-V para ejecutar sus procesadores virtuales en un subconjunto de procesadores lógicos (LP) totales del sistema. Los procesadores lógicos (LP) restantes siguen estando disponibles para que el hipervisor ejecute las máquinas virtuales.

  • La característica Grupos de CPU puede utilizarse para limitar los procesadores virtuales de máquinas virtuales (VM) invitadas a procesadores lógicos (LP) específicos.

Al combinar estas dos características, un administrador del host de Hyper-V puede aislar completamente la actividad del host de Hyper-V para un conjunto independiente de procesadores y aislar toda la actividad de las máquinas virtuales invitadas para los procesadores restantes.

Por ejemplo, en un sistema con 32 procesadores lógicos, el host de Hyper-V puede configurarse para utilizar únicamente ocho procesadores, con los 24 procesadores restantes dedicados a un grupo de CPU que incluya todas las máquinas virtuales invitadas en dicho host. De esta manera, se logra una separación completa entre la partición del host y las máquinas virtuales invitadas.

En el caso de sistemas que tengan habilitados los subprocesos múltiples simultáneos (SMT), asegúrate de que no se comparte un núcleo que incluya dos subprocesos SMT entre la partición del host y el grupo de CPU. Es decir, los procesadores lógicos (LP) de cada núcleo deben asignarse de forma exclusiva a la partición del host o a las máquinas virtuales (VM) invitadas (a través de la configuración de grupo de CPU).

Para obtener más información sobre la funcionalidad Minroot, consulta Hyper-V Host CPU Resource Management (Administración de recursos de CPU de host de Hyper-V).

Para obtener más información sobre los grupos de CPU, consulta Virtual Machine Resource Controls (Controles de recursos de máquinas virtuales).