SUPERCOMPUTING 2022 — Bagaimana Anda menjauhkan orang jahat dari beberapa komputer tercepat di dunia yang menyimpan beberapa data paling sensitif?
Itu adalah kekhawatiran yang berkembang pada konferensi Supercomputing 2022 bulan lalu. Mencapai kinerja sistem tercepat adalah topik hangat, seperti yang terjadi setiap tahun. Namun pengejaran kecepatan harus dibayar mahal dengan pengamanan beberapa sistem ini, yang menjalankan beban kerja kritis dalam sains, pemodelan cuaca, prakiraan ekonomi, dan keamanan nasional.
Menerapkan keamanan dalam bentuk perangkat keras atau perangkat lunak biasanya melibatkan penalti kinerja, yang memperlambat kinerja sistem secara keseluruhan dan keluaran komputasi. Dorongan untuk lebih banyak tenaga kuda dalam superkomputer telah membuat keamanan menjadi renungan.
“Sebagian besar, ini tentang komputasi performa tinggi. Dan terkadang beberapa dari mekanisme keamanan ini akan mengurangi kinerja Anda karena Anda melakukan pemeriksaan dan penyeimbangan,” kata Jeff McVeigh, wakil presiden dan manajer umum Super Compute Group di Intel.
“Ada juga 'Saya ingin memastikan saya mendapatkan kinerja terbaik, dan jika saya dapat menggunakan mekanisme lain untuk mengontrol bagaimana ini dieksekusi dengan aman, saya akan melakukannya,'” kata McVeigh.
Keamanan Membutuhkan Insentif
Performa dan keamanan data adalah pergumulan terus-menerus antara vendor yang menjual sistem performa tinggi dan operator yang menjalankan instalasi.
“Banyak vendor enggan melakukan perubahan ini jika perubahan tersebut berdampak negatif pada kinerja sistem,” kata Yang Guo, seorang ilmuwan komputer di National Institutes for Standards and Technology (NIST), selama sesi panel di Superkomputer 2022.
Kurangnya antusiasme untuk mengamankan sistem komputasi berkinerja tinggi telah mendorong pemerintah AS untuk turun tangan, dengan NIST membuat kelompok kerja untuk mengatasi masalah tersebut. Guo memimpin Kelompok Kerja HPC NIST, yang berfokus pada pengembangan pedoman, cetak biru, dan perlindungan untuk keamanan sistem dan data.
Kelompok Kerja HPC dibentuk pada Januari 2016 berdasarkan pada Presiden Barack Obama saat itu Executive Order 13702, yang meluncurkan National Strategic Computing Initiative. Aktivitas kelompok meningkat setelah serentetan serangan terhadap superkomputer di Eropa, beberapa di antaranya terlibat dalam penelitian COVID-19.
Keamanan HPC Rumit
Keamanan dalam komputasi performa tinggi tidak sesederhana memasang antivirus dan memindai email, kata Guo.
Komputer berperforma tinggi adalah sumber daya bersama, dengan peneliti memesan waktu dan terhubung ke sistem untuk melakukan perhitungan dan simulasi. Persyaratan keamanan akan bervariasi berdasarkan arsitektur HPC, beberapa di antaranya mungkin memprioritaskan kontrol akses, atau perangkat keras seperti penyimpanan, CPU yang lebih cepat, atau lebih banyak memori untuk perhitungan. Fokus utama adalah mengamankan wadah dan membersihkan node komputasi yang berkaitan dengan proyek di HPC, kata Guo.
Instansi pemerintah yang menangani data sangat rahasia mengambil pendekatan gaya Fort Knox untuk mengamankan sistem dengan memutus jaringan reguler atau akses nirkabel. Pendekatan “air-gapped” membantu memastikan bahwa malware tidak menginvasi sistem, dan hanya pengguna resmi dengan izin yang memiliki akses ke sistem tersebut.
Universitas juga memiliki superkomputer, yang dapat diakses oleh mahasiswa dan akademisi yang melakukan penelitian ilmiah. Administrator sistem ini dalam banyak kasus memiliki kontrol terbatas atas keamanan, yang dikelola oleh vendor sistem yang ingin menyombongkan diri untuk membangun komputer tercepat di dunia.
Ketika Anda menempatkan manajemen sistem di tangan vendor, mereka akan memprioritaskan jaminan kemampuan kinerja tertentu, kata Rickey Gregg, manajer program keamanan siber di Departemen Pertahanan AS. Program Modernisasi Komputasi Kinerja Tinggi, selama panel.
“Salah satu hal yang saya pelajari bertahun-tahun yang lalu adalah semakin banyak uang yang kita keluarkan untuk keamanan, semakin sedikit uang yang kita miliki untuk kinerja. Kami berusaha memastikan bahwa kami memiliki keseimbangan ini, ”kata Gregg.
Selama sesi tanya jawab setelah panel, beberapa administrator sistem mengungkapkan rasa frustrasinya pada kontrak vendor yang memprioritaskan kinerja sistem dan menurunkan keamanan. Administrator sistem mengatakan bahwa menerapkan teknologi keamanan lokal akan menjadi pelanggaran kontrak dengan vendor. Itu membuat sistem mereka terbuka.
Beberapa panelis mengatakan bahwa kontrak dapat diubah dengan bahasa di mana vendor menyerahkan keamanan kepada staf di lokasi setelah jangka waktu tertentu.
Pendekatan Keamanan yang Berbeda
Lantai pertunjukan SC menjadi tuan rumah bagi lembaga pemerintah, universitas, dan vendor yang berbicara tentang superkomputer. Percakapan tentang keamanan sebagian besar dilakukan di balik pintu tertutup, tetapi sifat instalasi superkomputer memberikan pandangan sekilas tentang berbagai pendekatan untuk mengamankan sistem.
Di stan University of Texas di Texas Advanced Computing Center (TACC) Austin, yang menampung banyak superkomputer di Daftar Top500 superkomputer tercepat di dunia, fokusnya adalah pada kinerja dan perangkat lunak. Superkomputer TACC dipindai secara teratur, dan pusat tersebut memiliki alat untuk mencegah invasi dan otentikasi dua faktor untuk mengotorisasi pengguna yang sah, kata perwakilan.
Departemen Pertahanan memiliki lebih banyak pendekatan "taman bertembok", dengan pengguna, beban kerja, dan sumber daya superkomputer yang tersegmentasi menjadi area perbatasan DMZ-stye dengan perlindungan ketat dan pemantauan semua komunikasi.
Massachusetts Institute of Technology (MIT) mengambil pendekatan tanpa kepercayaan untuk keamanan sistem dengan menghapus akses root. Sebaliknya ia menggunakan entri baris perintah yang disebut sudo untuk memberikan hak akses root kepada teknisi HPC. Perintah sudo memberikan jejak aktivitas yang dilakukan para insinyur HPC pada sistem, kata Albert Reuther, anggota staf senior di Pusat Komputer Super Laboratorium MIT Lincoln, selama diskusi panel.
“Apa yang sebenarnya kami kejar adalah mengaudit siapa yang ada di keyboard, siapa orang itu,” kata Reuther.
Meningkatkan Keamanan di Tingkat Vendor
Pendekatan umum untuk komputasi performa tinggi tidak berubah dalam beberapa dekade, dengan sangat bergantung pada instalasi raksasa di tempat dengan rak yang saling terhubung. Itu sangat kontras dengan pasar komputasi komersial, yang bergerak di luar kantor dan ke cloud. Peserta di acara tersebut menyatakan keprihatinan tentang keamanan data setelah meninggalkan sistem lokal.
AWS mencoba memodernisasi HPC dengan membawanya ke cloud, yang dapat meningkatkan kinerja sesuai permintaan sambil mempertahankan tingkat keamanan yang lebih tinggi. Pada bulan November, perusahaan memperkenalkan HPC7g, sekumpulan instans cloud untuk komputasi performa tinggi di Elastic Compute Cloud (EC2). EC2 menggunakan pengontrol khusus yang disebut Nitro V5 yang menyediakan lapisan komputasi rahasia untuk melindungi data saat disimpan, diproses, atau dalam perjalanan.
“Kami menggunakan berbagai penambahan perangkat keras pada platform tipikal untuk mengelola hal-hal seperti keamanan, kontrol akses, enkapsulasi jaringan, dan enkripsi,” kata Lowell Wofford, arsitek solusi spesialis utama AWS untuk komputasi kinerja tinggi, selama panel. Dia menambahkan itu teknik perangkat keras memberikan keamanan dan performa bare-metal di mesin virtual.
Intel sedang membangun fitur komputasi rahasia seperti Software Guard Extensions (SGX), kantong terkunci untuk eksekusi program, ke dalam chip server tercepatnya. Menurut Intel McVeigh, pendekatan lesu oleh operator mendorong pembuat chip untuk melompat ke depan dalam mengamankan sistem kinerja tinggi.
“Saya ingat ketika keamanan tidak penting di Windows. Dan kemudian mereka menyadari 'Jika kita membuat ini terungkap dan setiap kali seseorang melakukan sesuatu, mereka akan khawatir informasi kartu kredit mereka dicuri,'” kata McVeigh. “Jadi ada banyak upaya di sana. Saya pikir hal yang sama perlu diterapkan [di HPC].”
