Tietoturva on toisen luokan kansalainen korkean suorituskyvyn tietojenkäsittelyssä

SUPERCOMPUTING 2022 — Kuinka pidät pahikset poissa joistakin maailman nopeimmista tietokoneista, jotka tallentavat arkaluontoisia tietoja?

Tämä oli kasvava huolenaihe viime kuun Supercomputing 2022 -konferenssissa. Nopeimman järjestelmän suorituskyvyn saavuttaminen oli kuuma aihe, kuten joka vuosi. Mutta nopeuden tavoittelu on tapahtunut joidenkin järjestelmien turvaamisen kustannuksella, sillä ne suorittavat kriittistä työtaakkaa tieteen, säämallinnuksen, talouden ennustamisen ja kansallisen turvallisuuden alalla.

Suojauksen toteuttaminen laitteiston tai ohjelmiston muodossa sisältää tyypillisesti suorituskyvyn rangaistuksen, joka hidastaa järjestelmän yleistä suorituskykyä ja laskennan tulosta. Pyrkimys lisätä hevosvoimia supertietokoneissa on tehnyt turvallisuudesta jälkikäteen.

”Suurin osana kyse on korkean suorituskyvyn laskemisesta. Ja joskus jotkut näistä suojamekanismeista heikentävät suorituskykyäsi, koska teet joitain tarkistuksia ja tasapainotuksia”, sanoo Jeff McVeigh, Intelin Super Compute Groupin varapuheenjohtaja ja johtaja.

"Siellä on myös "Haluan varmistaa, että saan parhaan mahdollisen suorituskyvyn, ja jos voin ottaa käyttöön muita mekanismeja valvoakseni, kuinka tämä suoritetaan turvallisesti, teen sen", McVeigh sanoo.

Turvallisuus tarvitsee kannustusta

Suorituskyky ja tietoturva ovat jatkuvaa tappelua korkean suorituskyvyn järjestelmiä myyvien myyjien ja asennusta suorittavien operaattoreiden välillä.

"Monet toimittajat ovat haluttomia tekemään näitä muutoksia, jos muutos vaikuttaa negatiivisesti järjestelmän suorituskykyyn", sanoi Yang Guo, tietojenkäsittelytieteilijä National Institutes for Standards and Technologysta (NIST). paneeliistunto Supercomputing 2022 -tapahtumassa.

Innostuksen puute korkean suorituskyvyn tietokonejärjestelmien turvaamiseen on saanut Yhdysvaltain hallituksen puuttumaan asiaan, ja NIST on luonut työryhmän käsittelemään asiaa. Guo johtaa NIST HPC Working Groupia, joka keskittyy ohjeiden, suunnitelmien ja turvatoimien kehittämiseen järjestelmä- ja tietoturvalle.

HPC-työryhmä perustettiin tammikuussa 2016 silloisen presidentin Barack Obaman pohjalta Executive Order 13702, joka käynnisti National Strategic Computing Initiativen. Ryhmän toiminta piristyi räjähdyksen jälkeen hyökkäyksiä supertietokoneisiin Euroopassa, joista osa osallistui COVID-19-tutkimukseen.

HPC-suojaus on monimutkaista

Suorituskykyisen tietojenkäsittelyn tietoturva ei ole niin yksinkertaista kuin virustorjunnan asentaminen ja sähköpostien skannaus, Guo sanoi.

Suorituskykyiset tietokoneet ovat yhteisiä resursseja, ja tutkijat varaavat aikaa ja muodostavat yhteyden järjestelmiin laskelmia ja simulaatioita varten. Suojausvaatimukset vaihtelevat HPC-arkkitehtuurien mukaan, joista jotkin voivat asettaa etusijalle pääsynhallinnan tai laitteiston, kuten tallennustilan, nopeammat suorittimet tai enemmän muistia laskelmia varten. Pääpaino on kontin turvaamisessa ja HPC-projekteihin liittyvien laskentasolmujen puhdistamisessa, Guo sanoi.

Huippusalaisia ​​tietoja käsittelevät valtion virastot ottavat Fort Knox -tyylisen lähestymistavan turvatakseen järjestelmät katkaisemalla säännöllisen verkko- tai langattoman käytön. "Ilmarakoinen" lähestymistapa auttaa varmistamaan, että haittaohjelmat eivät tunkeudu järjestelmään ja että vain valtuutetuilla käyttäjillä on pääsy tällaisiin järjestelmiin.

Yliopistoissa on myös supertietokoneita, jotka ovat opiskelijoiden ja tieteellistä tutkimusta tekevien tutkijoiden käytettävissä. Näiden järjestelmien ylläpitäjillä on monissa tapauksissa rajoitettu määräysvalta turvallisuudesta, jota hallinnoivat järjestelmätoimittajat, jotka haluavat kerskua rakentaessaan maailman nopeimpia tietokoneita.

Kun annat järjestelmien hallinnan toimittajien käsiin, he asettavat etusijalle tiettyjen suorituskykyominaisuuksien takaamisen, sanoi Rickey Gregg, Yhdysvaltain puolustusministeriön kyberturvallisuusohjelman johtaja. Suorituskykyisten tietokoneiden modernisointiohjelma, paneelin aikana.

”Yksi niistä asioista, joista sain koulutuksen monta vuotta sitten, oli se, että mitä enemmän käytämme rahaa turvallisuuteen, sitä vähemmän meillä on rahaa suoritukseen. Yritämme varmistaa, että meillä on tämä tasapaino”, Gregg sanoi.

Paneelin jälkeisen kysymys-vastausistunnon aikana jotkut järjestelmänvalvojat ilmaisivat turhautuneisuuttaan toimittajasopimuksiin, jotka asettavat etusijalle järjestelmän suorituskyvyn ja antavat etusijalle turvallisuuden. Järjestelmänvalvojat sanoivat, että kotitekoisten tietoturvatekniikoiden käyttöönotto merkitsisi sopimusrikkomusta toimittajan kanssa. Tämä piti heidän järjestelmänsä esillä.

Jotkut panelistit sanoivat, että sopimuksia voitaisiin muokata kielellä, jossa myyjät luovuttavat turvallisuuden paikan päällä oleville henkilökunnalle tietyn ajan kuluttua.

Erilaisia ​​lähestymistapoja turvallisuuteen

SC:n show floor isännöi valtion virastoja, yliopistoja ja myyjiä, jotka puhuivat supertietokoneista. Keskustelut turvallisuudesta käytiin enimmäkseen suljettujen ovien takana, mutta supertietokonelaitteistojen luonne tarjosi lintuperspektiivistä näkemyksen järjestelmien turvaamisen erilaisista lähestymistavoista.

Teksasin yliopiston osastolla Austinin Texas Advanced Computing Centerissä (TACC), jossa on useita supertietokoneita. Top500-luettelo maailman nopeimmista supertietokoneista painopiste oli suorituskyvyssä ja ohjelmistoissa. TACC-supertietokoneet skannataan säännöllisesti, ja keskuksella on työkalut hyökkäyksen estämiseksi ja kaksivaiheinen todennus laillisten käyttäjien valtuuttamiseksi, edustajat sanoivat.

Puolustusministeriöllä on enemmän "muuripuutarha" -lähestymistapa, jossa käyttäjät, työmäärät ja supertietokoneresurssit on segmentoitu DMZ-tyyliselle raja-alueelle, jossa on voimakas suojaus ja kaiken viestinnän valvonta.

Massachusetts Institute of Technology (MIT) on omaksumassa nollaluottamusta koskevan lähestymistavan järjestelmän turvallisuuteen luopumalla pääkäyttäjän oikeuksista. Sen sijaan se käyttää komentorivimerkintää nimeltä sudo antaa pääkäyttäjän oikeudet HPC-insinööreille. Sudo-komento tarjoaa joukon toimintoja, joita HPC-insinöörit suorittavat järjestelmässä, sanoi Albert Reuther, MIT Lincoln Laboratory Supercomputing Centerin vanhempi toimihenkilö paneelikeskustelun aikana.

"Haluamme todella tarkastaa, kuka on näppäimistöllä ja kuka se henkilö oli", Reuther sanoi.

Turvallisuuden parantaminen toimittajatasolla

Yleinen lähestymistapa korkean suorituskyvyn laskemiseen ei ole muuttunut vuosikymmeniin, ja se on vahvasti riippuvainen jättiläisistä paikan päällä olevista asennuksista, joissa on toisiinsa liitetyt telineet. Tämä on jyrkässä ristiriidassa kaupallisten tietojenkäsittelymarkkinoiden kanssa, jotka siirtyvät muualle ja pilveen. Näyttelyn osallistujat ilmaisivat huolensa tietoturvasta sen jälkeen, kun se poistuu paikan päällä olevista järjestelmistä.

AWS yrittää modernisoida HPC:tä tuomalla sen pilveen, mikä voi skaalata suorituskykyä tarpeen mukaan säilyttäen samalla korkeamman turvallisuustason. Marraskuussa yhtiö esitteli HPC7g:n, pilvi-instanssien joukon Elastic Compute Cloudin (EC2) tehokkaaseen laskemiseen. EC2 käyttää erityistä Nitro V5 -ohjainta, joka tarjoaa luottamuksellisen laskentakerroksen suojaamaan tietoja, kun niitä tallennetaan, käsitellään tai siirretään.

"Käytämme erilaisia ​​laitteistolisäyksiä tyypillisiin alustoihin hallitaksemme asioita, kuten turvallisuutta, kulunvalvontaa, verkon kapselointia ja salausta", sanoi Lowell Wofford, AWS:n korkean suorituskyvyn tietojenkäsittelyn pääasiallinen asiantuntijaratkaisuarkkitehti paneelin aikana. Hän lisäsi sen laitteistotekniikoita tarjoavat sekä turvallisuuden että paljain metallin suorituskyvyn virtuaalikoneissa.

Intel rakentaa luottamuksellisia tietokoneominaisuuksia kuten Software Guard Extensions (SGX), lukittu erillisalue ohjelmien suorittamista varten, nopeimpiin palvelinsiruihinsa. Intelin McVeighin mukaan operaattoreiden puutteellinen lähestymistapa saa sirujen valmistajan hyppäämään eteenpäin korkean suorituskyvyn järjestelmien turvaamisessa.

”Muistan, kun tietoturva ei ollut tärkeää Windowsissa. Ja sitten he ymmärsivät "Jos paljastamme tämän ja joka kerta kun joku tekee jotain, he ovat huolissaan luottokorttitietojensa varastuksesta", McVeigh sanoi. "Joten siellä on paljon vaivaa. Mielestäni samoja asioita on sovellettava [HPC:ssä]."