투기적 실행 사이드 채널 취약성에 대한 Windows Server 2016 Hyper-V 호스트에 대한 대체 보호

투기적 실행 측면 채널 취약성으로부터 보호하기 위해 Windows Server 지침에 권장되는 완화에는 알려진 모든 보호의 모든 이점을 달성하기 위해 업데이트된 시스템 펌웨어를 적용하는 것이 포함됩니다. 이 항목에서는 아직 펌웨어를 업데이트하지 않은 Windows Server 2016 Hyper-V 호스트에 대한 CVE-2017-5715(분기 대상 주입)에 대한 대체 보호 메커니즘에 대해 설명합니다.

이러한 호스트는 Hyper-V 호스트의 루트 파티션과 게스트 가상 머신에 사용되는 VP(가상 프로세서) 간에 격리를 제공하도록 구성할 수 있습니다. Windows Server 2016 Hyper-V에는 이러한 구성을 허용하는 두 가지 기능이 있습니다.

• 최소 루트 또는 "Minroot" 기능을 사용하면 호스트 관리자가 Hyper-V 호스트 파티션을 제한하여 시스템의 총 논리 프로세서(LP) 하위 집합에서 가상 프로세서를 실행할 수 있습니다. 나머지 LP는 가상 머신을 실행하기 위해 하이퍼바이저에서 계속 사용할 수 있습니다.

• CPU 그룹 기능을 사용하여 게스트 VM 가상 프로세서를 특정 LP로 제한할 수 있습니다.

Hyper-V 호스트 관리자는 이러한 두 기능을 결합하여 호스트 Hyper-V 작업을 별도의 프로세서 집합으로 완전히 격리하고 모든 게스트 활동을 나머지 프로세서로 격리할 수 있습니다.

예를 들어 32개의 논리 프로세서가 있는 시스템에서 Hyper-V 호스트는 8개의 프로세서만 활용하도록 구성할 수 있으며 나머지 24개 프로세서는 해당 호스트의 모든 게스트 가상 머신을 포함하는 CPU 그룹 전용입니다. 이러한 방식으로 호스트 파티션과 게스트 가상 머신 간에 전체 분리가 수행됩니다.

동시 SMT(다중 스레딩)가 사용하도록 설정된 시스템에서 두 개의 SMT 스레드를 포함하는 코어가 호스트 파티션과 CPU 그룹 간에 공유되지 않는지 확인합니다. 즉, 각 코어의 LP는 호스트 파티션 또는 게스트 VM(CPU 그룹의 구성을 통해)에만 할당되어야 합니다.

Minroot 기능에 대한 자세한 내용은 Hyper-V 호스트 CPU 리소스 관리를 참조하세요.

CPU 그룹에 대한 자세한 내용은 Virtual Machine 리소스 컨트롤을 참조하세요.