SUPERCOMPUTING 2022 – kuidas hoida pahalased eemal mõnest maailma kiireimast arvutist, mis talletab kõige tundlikumaid andmeid?
See oli kasvav mure eelmise kuu konverentsil Supercomputing 2022. Süsteemi kiireima jõudluse saavutamine oli kuum teema, nagu igal aastal. Kuid kiiruse taotlemine on tulnud nende süsteemide turvalisuse hinnaga, mis täidavad teaduse, ilma modelleerimise, majanduse prognoosimise ja riikliku julgeoleku kriitilist töökoormust.
Turvalisuse rakendamine riist- või tarkvara kujul hõlmab tavaliselt jõudlustrahvi, mis aeglustab süsteemi üldist jõudlust ja arvutuste väljundit. Superarvutite hobujõudude suurendamise taotlus on muutnud turvalisuse tagamõtteks.
"Enamasti on tegemist suure jõudlusega andmetöötlusega. Ja mõnikord vähendavad mõned neist turvamehhanismidest teie jõudlust, kuna kontrollite ja tasakaalustate,” ütleb Inteli Super Compute Groupi asepresident ja peadirektor Jeff McVeigh.
"Seal on ka "Ma tahan olla kindel, et saan parima võimaliku jõudluse ja kui saan kasutusele võtta muid mehhanisme, et kontrollida, kuidas seda turvaliselt täidetakse, siis ma teen seda," ütleb McVeigh.
Turvalisus vajab ergutamist
Jõudlus- ja andmeturve on pidev tüli kõrgjõudlusega süsteeme müüvate tarnijate ja installatsiooni käitavate operaatorite vahel.
"Paljud müüjad ei soovi neid muudatusi teha, kui muudatus mõjutab süsteemi jõudlust negatiivselt," ütles riikliku standardi- ja tehnoloogiainstituudi (NIST) arvutiteadlane Yang Guo. paneeli istungil Supercomputing 2022-s.
Entusiasmi puudumine suure jõudlusega andmetöötlussüsteemide kindlustamiseks on ajendanud USA valitsust sekkuma, kusjuures NIST on loonud selle probleemi lahendamiseks töörühma. Guo juhib NIST HPC töörühma, mis keskendub süsteemi- ja andmeturbe juhiste, kavandite ja kaitsemeetmete väljatöötamisele.
HPC töörühm loodi 2016. aasta jaanuaris toonase presidendi Barack Obama töörühma põhjal Executive Order 13702, mis käivitas riikliku strateegilise andmetöötluse algatuse. Rühma tegevus elavnes pärast hoovihma rünnakud superarvutitele Euroopas, millest mõned olid seotud COVID-19 uuringutega.
HPC turvalisus on keeruline
Guo ütles, et suure jõudlusega andmetöötluse turvalisus pole nii lihtne kui viirusetõrje installimine ja e-kirjade skannimine.
Suure jõudlusega arvutid on jagatud ressursid, kus teadlased broneerivad aega ja ühenduvad süsteemidega, et teha arvutusi ja simulatsioone. Turvanõuded sõltuvad HPC arhitektuurist, millest mõned võivad eelistada juurdepääsu juhtimist või riistvara, nagu salvestusruum, kiiremad protsessorid või rohkem mälu arvutuste jaoks. Guo ütles, et põhirõhk on konteineri turvalisusel ja HPC projektidega seotud arvutussõlmede puhastamisel.
Ülisalajaste andmetega tegelevad valitsusasutused kasutavad Fort Knoxi stiilis lähenemist turvasüsteemidele, katkestades tavalise võrgu- või traadita juurdepääsu. "Õhuvahega" lähenemine aitab tagada, et pahavara süsteemi ei tungiks ja et sellistele süsteemidele pääsevad ligi ainult volitatud kasutajad, kellel on luba.
Ülikoolides on ka superarvutid, mis on kättesaadavad üliõpilastele ja teadusuuringuid tegevatele õppejõududele. Nende süsteemide administraatoritel on paljudel juhtudel piiratud kontroll turvalisuse üle, mida haldavad süsteemimüüjad, kes soovivad maailma kiireimate arvutite ehitamisega kiidelda.
Kui annate süsteemide haldamise tarnijate kätesse, seavad nad esikohale teatud jõudlusvõime tagamise, ütles USA kaitseministeeriumi küberjulgeoleku programmijuht Rickey Gregg. Suure jõudlusega andmetöötluse moderniseerimisprogramm, paneeli ajal.
"Üks asi, mille osas sain aastaid tagasi hariduse, oli see, et mida rohkem raha kulutame turvalisusele, seda vähem on meil raha jõudluseks. Püüame tagada, et meil oleks see tasakaal,” ütles Gregg.
Paneelile järgnenud küsimuste ja vastuste seansi ajal väljendasid mõned süsteemiadministraatorid pettumust müüjalepingute pärast, mis seavad esikohale süsteemi jõudluse ja tähtsustavad turvalisust. Süsteemiadministraatorid ütlesid, et kodumaiste turvatehnoloogiate rakendamine tähendaks müüjaga sõlmitud lepingu rikkumist. See hoidis nende süsteemi paljastatuna.
Mõned panelistid ütlesid, et lepinguid saab kohandada keelega, milles müüjad annavad teatud aja möödudes turvalisuse kohapealsetele töötajatele.
Erinevad lähenemised turvalisusele
SC näitusepõrandal toimusid valitsusasutused, ülikoolid ja müüjad, kes rääkisid superarvutitest. Vestlused turvalisuse teemadel olid enamasti suletud uste taga, kuid superarvutiinstallatsioonide olemus andis linnulennulise ülevaate erinevatest lähenemistest turvasüsteemidele.
Texase ülikooli boksis Austini Texas Advanced Computing Centeris (TACC), kus on mitu superarvutit. Top500 nimekiri maailma kiireimatest superarvutitest keskenduti jõudlusele ja tarkvarale. TACC superarvuteid skannitakse regulaarselt ning keskusel on sissetungi vältimiseks tööriistad ja kahefaktoriline autentimine seaduslike kasutajate volitamiseks, ütlesid esindajad.
Kaitseministeeriumil on rohkem "seinaga aia" lähenemisviis, kus kasutajad, töökoormused ja superarvutiressursid on segmenteeritud DMZ-tüüpi piirialaks, kus on tugev kaitse ja kogu side jälgimine.
Massachusettsi Tehnoloogiainstituut (MIT) rakendab süsteemi turvalisusele null-usaldusviisi, vabanedes juurjuurdepääsust. Selle asemel kasutab see käsurea kirjet nimega sudo et anda HPC inseneridele juurõigus. Sudo-käsk pakub HPC-inseneride tegevuste jälgi süsteemis, ütles MIT Lincolni laboratooriumi superarvutikeskuse vanemtöötaja Albert Reuther paneeldiskussiooni ajal.
"Me tahame tegelikult seda auditit, kes on klaviatuuril ja kes see inimene oli," ütles Reuther.
Turvalisuse parandamine tarnija tasandil
Üldine lähenemine suure jõudlusega andmetöötlusele ei ole aastakümnete jooksul muutunud, tuginedes suurel määral hiiglaslikele kohapealsetele installatsioonidele, millel on omavahel ühendatud riiulid. See on teravas vastuolus kommertsandmetöötluse turuga, mis liigub väljapoole ja pilve juurde. Näitusel osalejad väljendasid muret andmete turvalisuse pärast, kui see lahkub kohapealsetest süsteemidest.
AWS püüab HPC-d moderniseerida, tuues selle pilve, mis võib nõudmisel jõudlust suurendada, säilitades samal ajal kõrgema turvataseme. Novembris tutvustas ettevõte HPC7g pilveeksemplaride komplekti suure jõudlusega andmetöötluseks Elastic Compute Cloudis (EC2). EC2 kasutab spetsiaalset kontrollerit nimega Nitro V5, mis pakub konfidentsiaalset andmetöötluskihti, et kaitsta andmeid nende salvestamise, töötlemise või edastamise ajal.
"Kasutame tüüpilistele platvormidele mitmesuguseid riistvaralisandeid, et hallata selliseid asju nagu turvalisus, juurdepääsukontroll, võrgu kapseldamine ja krüptimine," ütles Lowell Wofford, AWS-i kõrge jõudlusega andmetöötluse peamine spetsialist lahenduste arhitekt. Ta lisas selle riistvara tehnikad pakuvad virtuaalmasinates nii turvalisust kui ka puhast jõudlust.
Intel ehitab konfidentsiaalsed andmetöötlusfunktsioonid nagu Software Guard Extensions (SGX), lukustatud enklaav programmide täitmiseks oma kiireimatesse serverikiipidesse. Inteli McVeighi sõnul sunnib operaatorite ebapiisav lähenemine kiibitootjat suure jõudlusega süsteemide kindlustamisel edasi liikuma.
"Mäletan, kui turvalisus polnud Windowsis oluline. Ja siis nad taipasid: "Kui me selle avalikuks teeme ja iga kord, kui keegi midagi teeb, hakkavad nad muretsema nende krediitkaarditeabe varastamise pärast," ütles McVeigh. "Seega on seal palju pingutusi. Ma arvan, et samad asjad peavad kehtima [HPC-s].
