SUPERCOMPUTING 2022 – Hogyan távolíthatja el a rosszfiúkat a világ leggyorsabb számítógépei közül, amelyek a legérzékenyebb adatokat tárolják?
Ez egyre nagyobb gondot okozott a múlt havi Supercomputing 2022 konferencián. A leggyorsabb rendszerteljesítmény elérése forró téma volt, mint minden évben. A gyorsaságra való törekvés azonban némelyik rendszer biztonságának az árán ment, amelyek kritikus terhelést futnak a tudomány, az időjárás-modellezés, a gazdasági előrejelzés és a nemzetbiztonság területén.
A biztonság hardver vagy szoftver formájában történő megvalósítása általában teljesítménybüntetéssel jár, ami lelassítja a rendszer általános teljesítményét és a számítások kimenetét. A szuperszámítástechnikában a több lóerő iránti törekvés a biztonságot utógondolattá tette.
„A legtöbb esetben a nagy teljesítményű számítástechnikáról van szó. És néha ezek a biztonsági mechanizmusok csökkentik a teljesítményt, mert bizonyos ellenőrzéseket és ellensúlyozásokat hajt végre” – mondja Jeff McVeigh, az Intel Super Compute Group alelnöke és vezérigazgatója.
„Van még egy „bizonyosodni akarok arról, hogy a lehető legjobb teljesítményt érem el, és ha más mechanizmusokat tudok bevezetni a biztonságos végrehajtás szabályozására, akkor ezt megteszem” – mondja McVeigh.
A biztonságnak ösztönzésre van szüksége
A teljesítmény és az adatbiztonság állandó veszekedés a nagy teljesítményű rendszereket értékesítő szállítók és a telepítést üzemeltető üzemeltetők között.
"Sok szállító vonakodik megtenni ezeket a változtatásokat, ha a változtatás negatívan befolyásolja a rendszer teljesítményét" - mondta Yang Guo, a National Institutes for Standards and Technology (NIST) informatikusa. panelülés a Supercomputing 2022 kiállításon.
A nagy teljesítményű számítástechnikai rendszerek biztosítása iránti lelkesedés hiánya késztette az Egyesült Államok kormányát a beavatkozásra, és a NIST munkacsoportot hozott létre a probléma megoldására. Guo vezeti a NIST HPC munkacsoportot, amely a rendszer- és adatbiztonságra vonatkozó irányelvek, tervrajzok és biztosítékok kidolgozására összpontosít.
A HPC munkacsoportot 2016 januárjában hozták létre Barack Obama akkori elnök munkacsoportja alapján Executive Order 13702, amely elindította a Nemzeti Stratégiai Számítástechnikai Kezdeményezést. A csoport tevékenysége egy hullámzás után megélénkült szuperszámítógépek elleni támadások Európában, amelyek közül néhány részt vett a COVID-19-kutatásban.
A HPC biztonság bonyolult
Guo szerint a nagy teljesítményű számítástechnika biztonsága nem olyan egyszerű, mint a vírusirtó telepítése és az e-mailek ellenőrzése.
A nagy teljesítményű számítógépek megosztott erőforrások, a kutatók lefoglalják az időt, és rendszerekhez kapcsolódnak számítások és szimulációk elvégzéséhez. A biztonsági követelmények a HPC architektúráktól függően változnak, amelyek közül néhány előnyben részesítheti a hozzáférés-szabályozást, vagy a hardvereket, például a tárolást, a gyorsabb CPU-kat vagy a több memóriát a számításokhoz. Guo szerint a fő hangsúly a konténer biztonságossá tételén és a HPC-vel kapcsolatos projektekhez kapcsolódó számítási csomópontok fertőtlenítésén van.
A szigorúan titkos adatokkal foglalkozó kormányzati szervek a Fort Knox-stílusú megközelítést alkalmazzák a rendszeres hálózati vagy vezeték nélküli hozzáférés leállításával a biztonságos rendszerek biztosítására. A „légrés” megközelítés segít abban, hogy a rosszindulatú programok ne támadják meg a rendszert, és csak engedéllyel rendelkező felhasználók férhessenek hozzá az ilyen rendszerekhez.
Az egyetemeken szuperszámítógépek is találhatók, amelyek a tudományos kutatást végző hallgatók és oktatók számára hozzáférhetők. Ezeknek a rendszereknek a rendszergazdái sok esetben csak korlátozottan szabályozzák a biztonságot, amelyet a rendszerszállítók kezelnek, akik a világ leggyorsabb számítógépeinek megépítésével akarnak kérkedni.
Ha a rendszerek kezelését a szállítók kezébe helyezi, akkor bizonyos teljesítményképességek garantálását prioritásként kezelik – mondta Rickey Gregg, az Egyesült Államok Védelmi Minisztériumának kiberbiztonsági programvezetője. Nagy teljesítményű számítástechnikai modernizációs program, a panel alatt.
„Az egyik dolog, amiről sok évvel ezelőtt tanultam, az volt, hogy minél több pénzt költünk biztonságra, annál kevesebb pénzünk van a teljesítményre. Arra törekszünk, hogy meglegyen ez az egyensúly” – mondta Gregg.
A panelt követő kérdések és válaszok során néhány rendszeradminisztrátor csalódottságát fejezte ki az olyan szállítói szerződések miatt, amelyek előnyben részesítik a rendszer teljesítményét és a biztonságot. A rendszergazdák szerint a saját fejlesztésű biztonsági technológiák bevezetése szerződésszegést jelentene a szállítóval. Ez védve volt a rendszerüktől.
Egyes testületi tagok szerint a szerződések olyan nyelvezetekkel módosíthatók, amelyek szerint az eladók egy bizonyos idő elteltével átadják a biztonságot a helyszíni személyzetnek.
Különböző megközelítések a biztonsághoz
Az SC bemutatótermében kormányzati ügynökségek, egyetemek és gyártók beszéltek a szuperszámítástechnikáról. A biztonságról szóló beszélgetések többnyire zárt ajtók mögött zajlottak, de a szuperszámítógépes telepítések természete madártávlatból láttatja a rendszerek védelmének különféle megközelítéseit.
A Texasi Egyetem standján az austini Texas Advanced Computing Centerben (TACC), amely több szuperszámítógépnek ad otthont. Top500 lista a világ leggyorsabb szuperszámítógépei közül a teljesítményen és a szoftveren volt a hangsúly. A TACC szuperszámítógépeket rendszeresen átvizsgálják, és a központ rendelkezik eszközökkel az inváziók megelőzésére, valamint kéttényezős hitelesítéssel engedélyezi a legális felhasználókat.
A védelmi minisztérium inkább „falazott kert” megközelítést alkalmaz, a felhasználókat, a munkaterhelést és a szuperszámítógépes erőforrásokat egy DMZ-szerű határterületre szegmentálva, erős védelemmel és minden kommunikáció figyelésével.
A Massachusetts Institute of Technology (MIT) zéró bizalmi megközelítést alkalmaz a rendszerbiztonság terén azáltal, hogy megszabadul a root hozzáféréstől. Ehelyett egy parancssori bejegyzést használ sudo hogy root jogosultságot biztosítson a HPC mérnököknek. A sudo parancs a HPC-mérnökök által a rendszeren végzett tevékenységek nyomvonalát mutatja be – mondta Albert Reuther, az MIT Lincoln Laboratory Supercomputing Center vezető munkatársa a panelbeszélgetés során.
„Valójában annak ellenőrzésére törekszünk, hogy ki ül a billentyűzeten, ki volt az a személy” – mondta Reuther.
A biztonság javítása szállítói szinten
A nagy teljesítményű számítástechnika általános megközelítése évtizedek óta nem változott, és nagymértékben támaszkodik az egymáshoz kapcsolódó rackekkel ellátott, óriási helyszíni telepítésekre. Ez éles ellentétben áll a kereskedelmi számítástechnikai piaccal, amely a telephelyen kívülre költözik a felhőhöz. A kiállítás résztvevői aggodalmukat fejezték ki az adatok biztonságával kapcsolatban, miután azok elhagyják a helyszíni rendszereket.
Az AWS megpróbálja modernizálni a HPC-t azáltal, hogy a felhőbe helyezi, amely igény szerint növelheti a teljesítményt, miközben megőrzi a magasabb szintű biztonságot. Novemberben a vállalat bemutatta a HPC7g-t, a felhőpéldányok készletét a nagy teljesítményű számítástechnikához az Elastic Compute Cloud (EC2) rendszeren. Az EC2 egy speciális Nitro V5 vezérlőt alkalmaz, amely bizalmas számítási réteget biztosít az adatok védelmére a tárolás, feldolgozás vagy továbbítás során.
„A tipikus platformokhoz különféle hardver-kiegészítéseket használunk az olyan dolgok kezeléséhez, mint a biztonság, a hozzáférés-vezérlés, a hálózati tokozás és a titkosítás” – mondta Lowell Wofford, az AWS nagy teljesítményű számítástechnikai megoldások fő szakértője a panel során. Hozzátette, hogy hardver technikák biztonságot és csupasz teljesítményt nyújt a virtuális gépekben.
Az Intel épít bizalmas számítástechnikai funkciók mint a Software Guard Extensions (SGX), egy zárolt enklávé a programok végrehajtásához, a leggyorsabb szerverchipekbe. Az Intel McVeigh szerint az üzemeltetők hiányos hozzáállása arra készteti a chipgyártót, hogy előre ugorjon a nagy teljesítményű rendszerek biztosításában.
„Emlékszem, amikor a biztonság nem volt fontos a Windowsban. Aztán rájöttek: „Ha ezt nyilvánosságra hozzuk, és minden alkalommal, amikor bárki bármit tesz, attól fog tartani, hogy ellopják a hitelkártyaadatait” – mondta McVeigh. „Tehát sok erőfeszítés van ott. Úgy gondolom, hogy ugyanazokat a dolgokat kell alkalmazni [a HPC-ben].”
