SUPERCOMPUTING 2022 – Wie halten Sie die Bösewichte von einigen der schnellsten Computer der Welt fern, die einige der sensibelsten Daten speichern?
Dies war ein wachsendes Anliegen auf der Supercomputing 2022-Konferenz im vergangenen Monat. Das Erreichen der schnellsten Systemleistung war wie jedes Jahr ein heißes Thema. Aber das Streben nach Geschwindigkeit geht zu Lasten der Sicherung einiger dieser Systeme, die kritische Workloads in Wissenschaft, Wettermodellierung, Wirtschaftsprognosen und nationaler Sicherheit ausführen.
Das Implementieren von Sicherheit in Form von Hardware oder Software ist typischerweise mit einer Leistungseinbuße verbunden, die die Gesamtsystemleistung und die Ausgabe von Berechnungen verlangsamt. Der Drang nach mehr Pferdestärken im Supercomputing hat die Sicherheit zu einem nachträglichen Gedanken gemacht.
„In erster Linie geht es um High Performance Computing. Und manchmal reduzieren einige dieser Sicherheitsmechanismen Ihre Leistung, weil Sie einige Checks and Balances durchführen“, sagt Jeff McVeigh, Vice President und General Manager der Super Compute Group bei Intel.
„Es gibt auch ein ‚Ich möchte sicherstellen, dass ich die bestmögliche Leistung bekomme, und wenn ich andere Mechanismen einsetzen kann, um zu kontrollieren, wie dies sicher ausgeführt wird, werde ich das tun'“, sagt McVeigh.
Sicherheit braucht Anreize
Performance und Datensicherheit sind ein ständiges Gerangel zwischen den Anbietern der Hochleistungssysteme und den Betreibern, die die Installation betreiben.
„Viele Anbieter zögern, diese Änderungen vorzunehmen, wenn sich die Änderung negativ auf die Systemleistung auswirkt“, sagte Yang Guo, Informatiker am National Institutes for Standards and Technology (NIST), während a Panel-Sitzung auf der Supercomputing 2022.
Der Mangel an Enthusiasmus für die Sicherung von Hochleistungscomputersystemen hat die US-Regierung dazu veranlasst, einzugreifen, und das NIST hat eine Arbeitsgruppe eingerichtet, um sich mit dem Problem zu befassen. Guo leitet die NIST HPC Working Group, die sich auf die Entwicklung von Richtlinien, Blaupausen und Sicherheitsvorkehrungen für System- und Datensicherheit konzentriert.
Die HPC-Arbeitsgruppe wurde im Januar 2016 auf der Grundlage der des damaligen Präsidenten Barack Obama gegründet Executive Order 13702, das die National Strategic Computing Initiative ins Leben gerufen hat. Die Aktivität der Gruppe nahm nach einer Flut von Angriffe auf Supercomputer in Europa, von denen einige an der COVID-19-Forschung beteiligt waren.
HPC-Sicherheit ist kompliziert
Sicherheit im High-Performance-Computing ist nicht so einfach wie die Installation von Antivirenprogrammen und das Scannen von E-Mails, sagte Guo.
Hochleistungscomputer sind gemeinsam genutzte Ressourcen, bei denen Forscher Zeit buchen und sich mit Systemen verbinden, um Berechnungen und Simulationen durchzuführen. Die Sicherheitsanforderungen variieren je nach HPC-Architektur, von denen einige die Zugriffskontrolle oder Hardware wie Speicher, schnellere CPUs oder mehr Arbeitsspeicher für Berechnungen priorisieren können. Der Hauptfokus liegt auf der Sicherung des Containers und der Bereinigung von Rechenknoten, die sich auf Projekte auf HPC beziehen, sagte Guo.
Regierungsbehörden, die mit streng geheimen Daten zu tun haben, verfolgen einen Ansatz im Stil von Fort Knox, um Systeme zu sichern, indem sie den regulären Netzwerk- oder drahtlosen Zugriff unterbrechen. Der „Air-Gap“-Ansatz hilft sicherzustellen, dass Malware nicht in das System eindringt und dass nur autorisierte Benutzer mit Freigabe Zugriff auf solche Systeme haben.
Universitäten beherbergen auch Supercomputer, die Studenten und Akademikern, die wissenschaftliche Forschung betreiben, zugänglich sind. Administratoren dieser Systeme haben in vielen Fällen nur begrenzte Kontrolle über die Sicherheit, die von Systemanbietern verwaltet wird, die damit prahlen wollen, die schnellsten Computer der Welt zu bauen.
Wenn Sie die Verwaltung der Systeme in die Hände von Anbietern legen, werden diese der Gewährleistung bestimmter Leistungsfähigkeiten Priorität einräumen, sagte Rickey Gregg, Programmmanager für Cybersicherheit beim US-Verteidigungsministerium Modernisierungsprogramm für High Performance Computing, während des Panels.
„Eines der Dinge, die mir vor vielen Jahren beigebracht wurden, war, dass wir umso weniger Geld für Leistung haben, je mehr Geld wir für Sicherheit ausgeben. Wir versuchen sicherzustellen, dass wir dieses Gleichgewicht haben“, sagte Gregg.
Während einer Frage-und-Antwort-Runde im Anschluss an die Podiumsdiskussion äußerten sich einige Systemadministratoren frustriert über Anbieterverträge, die der Systemleistung Vorrang einräumen und der Sicherheit den Vorrang geben. Die Systemadministratoren sagten, dass die Implementierung selbst entwickelter Sicherheitstechnologien einen Vertragsbruch mit dem Anbieter darstellen würde. Das hielt ihr System ungeschützt.
Einige Diskussionsteilnehmer sagten, dass Verträge mit einer Sprache optimiert werden könnten, in der Anbieter die Sicherheit nach einer bestimmten Zeit an das Personal vor Ort übergeben.
Unterschiedliche Sicherheitsansätze
Auf der SC-Ausstellungsfläche sprachen Regierungsbehörden, Universitäten und Anbieter über Supercomputing. Die Gespräche über Sicherheit fanden größtenteils hinter verschlossenen Türen statt, aber die Natur von Supercomputing-Installationen bot einen Überblick über die verschiedenen Ansätze zur Sicherung von Systemen.
Am Stand der University of Texas im Texas Advanced Computing Center (TACC) von Austin, das mehrere Supercomputer beherbergt Top500 Liste der schnellsten Supercomputer der Welt lag der Fokus auf Leistung und Software. TACC-Supercomputer werden regelmäßig gescannt, und das Zentrum verfügt über Tools, um Invasionen und eine Zwei-Faktor-Authentifizierung zu verhindern, um legitime Benutzer zu autorisieren, sagten Vertreter.
Das Verteidigungsministerium verfolgt eher einen „Walled Garden“-Ansatz, bei dem Benutzer, Workloads und Supercomputing-Ressourcen in einen DMZ-Grenzbereich mit starkem Schutz und Überwachung der gesamten Kommunikation segmentiert sind.
Das Massachusetts Institute of Technology (MIT) verfolgt einen Zero-Trust-Ansatz für die Systemsicherheit, indem es den Root-Zugriff abschafft. Stattdessen verwendet es einen Befehlszeileneintrag namens sudo Root-Privilegien für HPC-Ingenieure bereitzustellen. Der sudo-Befehl bietet eine Spur von Aktivitäten, die HPC-Ingenieure auf dem System durchführen, sagte Albert Reuther, leitender Mitarbeiter im MIT Lincoln Laboratory Supercomputing Center, während der Podiumsdiskussion.
„Was wir wirklich wollen, ist das Auditieren, wer an der Tastatur sitzt, wer diese Person war“, sagte Reuther.
Verbesserung der Sicherheit auf Anbieterebene
Der allgemeine Ansatz für Hochleistungs-Computing hat sich seit Jahrzehnten nicht geändert, mit einer starken Abhängigkeit von riesigen Vor-Ort-Installationen mit miteinander verbundenen Racks. Das steht in scharfem Kontrast zum kommerziellen Computermarkt, der sich ins Ausland verlagert in die Wolke. Die Teilnehmer der Messe äußerten Bedenken hinsichtlich der Datensicherheit, sobald sie lokale Systeme verlassen.
AWS versucht, HPC zu modernisieren, indem es in die Cloud gebracht wird, wodurch die Leistung bei Bedarf gesteigert und gleichzeitig ein höheres Sicherheitsniveau aufrechterhalten werden kann. Im November stellte das Unternehmen HPC7g vor, eine Reihe von Cloud-Instanzen für Hochleistungs-Computing auf Elastic Compute Cloud (EC2). EC2 verwendet einen speziellen Controller namens Nitro V5, der eine vertrauliche Rechenschicht bereitstellt, um Daten während der Speicherung, Verarbeitung oder Übertragung zu schützen.
„Wir verwenden verschiedene Hardware-Ergänzungen zu typischen Plattformen, um Dinge wie Sicherheit, Zugriffskontrollen, Netzwerkkapselung und Verschlüsselung zu verwalten“, sagte Lowell Wofford, AWS Principal Specialist Solution Architect für High Performance Computing, während des Panels. Das fügte er hinzu Hardware-Techniken bieten sowohl die Sicherheit als auch die Bare-Metal-Leistung in virtuellen Maschinen.
Intel baut vertrauliche Computerfunktionen wie Software Guard Extensions (SGX), eine gesperrte Enklave für die Programmausführung, in seine schnellsten Serverchips. Laut McVeigh von Intel veranlasst eine nachlässige Herangehensweise der Betreiber den Chiphersteller, bei der Sicherung von Hochleistungssystemen einen Sprung nach vorn zu machen.
„Ich erinnere mich, als Sicherheit in Windows nicht wichtig war. Und dann wurde ihnen klar: „Wenn wir das aufdecken und irgendjemand irgendetwas tut, werden sie sich Sorgen machen, dass ihre Kreditkarteninformationen gestohlen werden“, sagte McVeigh. „Da steckt also viel Aufwand drin. Ich denke, die gleichen Dinge müssen [in HPC] gelten.“
