SUPERCOMPUTING 2022 — Hvordan holder du skurkene væk fra nogle af verdens hurtigste computere, der gemmer nogle af de mest følsomme data?
Det var en voksende bekymring på sidste måneds Supercomputing 2022-konference. At opnå den hurtigste systemydelse var et varmt emne, ligesom det er hvert år. Men jagten på hastighed er sket på bekostning af at sikre nogle af disse systemer, som kører kritiske arbejdsbyrder inden for videnskab, vejrmodellering, økonomiske prognoser og national sikkerhed.
Implementering af sikkerhed i form af hardware eller software indebærer typisk en præstationsstraf, som sænker den overordnede systemydeevne og outputtet af beregninger. Skub til flere hestekræfter i supercomputing har gjort sikkerhed til en eftertanke.
"For det meste handler det om højtydende databehandling. Og nogle gange vil nogle af disse sikkerhedsmekanismer reducere din ydeevne, fordi du laver nogle checks og balances,” siger Jeff McVeigh, vicepræsident og general manager for Super Compute Group hos Intel.
"Der er også et "Jeg vil sikre mig, at jeg får den bedst mulige ydeevne, og hvis jeg kan sætte andre mekanismer i til at kontrollere, hvordan dette udføres sikkert, vil jeg gøre det," siger McVeigh.
Sikkerhed har brug for incitament
Ydeevne og datasikkerhed er en konstant kamp mellem de leverandører, der sælger de højtydende systemer, og de operatører, der kører installationen.
"Mange leverandører er tilbageholdende med at foretage disse ændringer, hvis ændringen påvirker systemets ydeevne negativt," sagde Yang Guo, en datalog ved National Institutes for Standards and Technology (NIST), under en panel session på Supercomputing 2022.
Manglen på entusiasme for at sikre højtydende computersystemer har fået den amerikanske regering til at træde til, hvor NIST har oprettet en arbejdsgruppe til at løse problemet. Guo leder NIST HPC Working Group, som fokuserer på at udvikle retningslinjer, tegninger og sikkerhedsforanstaltninger for system- og datasikkerhed.
HPC Working Group blev oprettet i januar 2016 baseret på daværende præsident Barack Obamas Executive Order 13702, som lancerede National Strategic Computing Initiative. Gruppens aktivitet tog fart efter en bølge af angreb på supercomputere i Europa, hvoraf nogle var involveret i COVID-19-forskning.
HPC-sikkerhed er kompliceret
Sikkerhed i højtydende computing er ikke så simpelt som at installere antivirus og scanne e-mails, sagde Guo.
Højtydende computere er delte ressourcer, hvor forskere booker tid og forbinder til systemer for at udføre beregninger og simuleringer. Sikkerhedskravene vil variere baseret på HPC-arkitekturer, hvoraf nogle kan prioritere adgangskontrol, eller hardware som lagring, hurtigere CPU'er eller mere hukommelse til beregninger. Hovedfokus er på at sikre containeren og desinficere computerknudepunkter, der vedrører projekter på HPC, sagde Guo.
Offentlige myndigheder, der beskæftiger sig med tophemmelige data, tager en Fort Knox-stil tilgang til sikre systemer ved at afbryde almindelig netværks- eller trådløs adgang. Den "luftgappede" tilgang hjælper med at sikre, at malware ikke invaderer systemet, og at kun autoriserede brugere med godkendelse har adgang til sådanne systemer.
Universiteter er også vært for supercomputere, som er tilgængelige for studerende og akademikere, der udfører videnskabelig forskning. Administratorer af disse systemer har i mange tilfælde begrænset kontrol over sikkerheden, som styres af systemleverandører, der ønsker at prale af at bygge verdens hurtigste computere.
Når du lægger styringen af systemerne i hånden på leverandører, vil de prioritere at garantere visse præstationsevner, sagde Rickey Gregg, programleder for cybersikkerhed i det amerikanske forsvarsministerium. Højtydende computermoderniseringsprogram, under panelet.
“En af de ting, jeg blev uddannet i for mange år siden, var, at jo flere penge vi bruger på sikkerhed, jo færre penge har vi til ydeevne. Vi forsøger at sikre, at vi har denne balance,” sagde Gregg.
Under en spørgsmål-og-svar-session efter panelet udtrykte nogle systemadministratorer frustration over leverandørkontrakter, der prioriterer ydeevne i systemet og deprioriterer sikkerhed. Systemadministratorerne sagde, at implementering af hjemmelavede sikkerhedsteknologier ville svare til kontraktbrud med leverandøren. Det holdt deres system afsløret.
Nogle paneldeltagere sagde, at kontrakter kunne justeres med sprog, hvor leverandører overdrager sikkerhed til personale på stedet efter en vis periode.
Forskellige tilgange til sikkerhed
SC udstillingsgulvet var vært for offentlige myndigheder, universiteter og leverandører, der talte om supercomputing. Samtalerne om sikkerhed foregik for det meste bag lukkede døre, men karakteren af supercomputing-installationer gav et fugleperspektiv af de forskellige tilgange til sikring af systemer.
På standen til University of Texas i Austins Texas Advanced Computing Center (TACC), som er vært for flere supercomputere i Top 500 liste af verdens hurtigste supercomputere var fokus på ydeevne og software. TACC-supercomputere bliver scannet regelmæssigt, og centret har værktøjer på plads til at forhindre invasioner og to-faktor-autentificering for at autorisere legitime brugere, sagde repræsentanter.
Forsvarsministeriet har mere en "walled garden"-tilgang, med brugere, arbejdsbelastninger og supercomputing-ressourcer opdelt i et DMZ-stye grænseområde med kraftig beskyttelse og overvågning af al kommunikation.
Massachusetts Institute of Technology (MIT) tager en nul-tillid tilgang til systemsikkerhed ved at slippe af med root-adgang. I stedet bruger den en kommandolinjeindgang kaldet sudo at give root-privilegium til HPC-ingeniører. Sudo-kommandoen giver et spor af aktiviteter, HPC-ingeniører udfører på systemet, sagde Albert Reuther, seniormedarbejder i MIT Lincoln Laboratory Supercomputing Center, under paneldiskussionen.
"Det, vi virkelig er ude efter, er den kontrol af, hvem der er ved tastaturet, hvem der var den person," sagde Reuther.
Forbedring af sikkerheden på leverandørniveau
Den generelle tilgang til højtydende databehandling har ikke ændret sig i årtier, med en stor afhængighed af gigantiske on-site installationer med indbyrdes forbundne stativer. Det står i skarp kontrast til det kommercielle computermarked, som bevæger sig offsite og til skyen. Deltagerne på messen udtrykte bekymring over datasikkerheden, når den forlader lokale systemer.
AWS forsøger at modernisere HPC ved at bringe det til skyen, som kan skalere ydeevnen op efter behov og samtidig opretholde et højere sikkerhedsniveau. I november introducerede virksomheden HPC7g, et sæt cloud-instanser til højtydende databehandling på Elastic Compute Cloud (EC2). EC2 anvender en speciel controller kaldet Nitro V5, der giver et fortroligt computerlag til at beskytte data, når de lagres, behandles eller under transport.
"Vi bruger forskellige hardwaretilføjelser til typiske platforme til at administrere ting som sikkerhed, adgangskontrol, netværksindkapsling og kryptering," sagde Lowell Wofford, AWS hovedspecialistløsningsarkitekt for højtydende computerbehandling, under panelet. Det tilføjede han hardware teknikker give både sikkerhed og bare-metal ydeevne i virtuelle maskiner.
Intel bygger fortrolige computerfunktioner som Software Guard Extensions (SGX), en låst enklave til programudførelse, ind i dens hurtigste serverchips. Ifølge Intels McVeigh får en mangelfuld tilgang fra operatørerne chipproducenten til at springe videre med at sikre højtydende systemer.
"Jeg kan huske, da sikkerhed ikke var vigtigt i Windows. Og så indså de, 'Hvis vi gør det her afsløret, og hver gang nogen gør noget, vil de bekymre sig om, at deres kreditkortoplysninger bliver stjålet,' sagde McVeigh. »Så der er en stor indsats der. Jeg tror, de samme ting skal gælde [i HPC]."
