スーパーコンピューティング 2022 — 最も機密性の高いデータを保存している世界最速のコンピューターから、悪者をどのように締め出しますか?
これは、先月の Supercomputing 2022 カンファレンスでの懸念の高まりでした。 毎年のように、最速のシステム パフォーマンスを達成することはホットなトピックでした。 しかし、速度の追求は、科学、気象モデリング、経済予測、および国家安全保障の重要なワークロードを実行するこれらのシステムの一部を保護するという犠牲を払っています.
ハードウェアまたはソフトウェアの形式でセキュリティを実装すると、通常、パフォーマンスが低下し、システム全体のパフォーマンスと計算の出力が低下します。 スーパーコンピューティングの処理能力の向上が求められているため、セキュリティは後回しになっています。
「ほとんどの場合、それはハイ パフォーマンス コンピューティングに関するものです。 また、これらのセキュリティ メカニズムの一部は、チェック アンド バランスを行っているため、パフォーマンスを低下させる場合があります」と、Intel のスーパー コンピューティング グループ担当バイス プレジデント兼ゼネラル マネージャーである Jeff McVeigh は述べています。
「可能な限り最高のパフォーマンスが得られるようにしたいので、これが安全に実行される方法を制御する他のメカニズムを組み込むことができれば、そうします」と McVeigh 氏は言います。
セキュリティにはインセンティブが必要
パフォーマンスとデータ セキュリティは、高性能システムを販売するベンダーと、インストールを実行するオペレーターとの間で常に争われています。
米国国立標準技術研究所 (NIST) のコンピューター科学者である Yang Guo 氏は、次のように述べています。 パネルセッション スーパーコンピューティング 2022 で。
ハイ パフォーマンス コンピューティング システムの保護に対する熱意の欠如により、米国政府が介入するようになり、NIST はこの問題に対処するためのワーキング グループを作成しました。 Guo は、システムおよびデータ セキュリティのガイドライン、青写真、保護手段の開発に重点を置いた NIST HPC ワーキング グループを率いています。
HPC ワーキング グループは、2016 年 XNUMX 月に当時のバラク オバマ大統領の 令13702、National Strategic Computing Initiative を立ち上げました。 グループの活動は相次いだ後に回復した ヨーロッパのスーパーコンピューターへの攻撃、その一部は COVID-19 研究に関与していました。
HPC セキュリティは複雑です
ハイ パフォーマンス コンピューティングのセキュリティは、アンチウイルスのインストールや電子メールのスキャンほど単純ではありません、と Guo 氏は言います。
高性能コンピューターは共有リソースであり、研究者は時間を予約し、システムに接続して計算とシミュレーションを実行します。 セキュリティ要件は、HPC アーキテクチャによって異なります。その中には、アクセス制御、ストレージなどのハードウェア、より高速な CPU、または計算用のメモリを優先するものもあります。 一番の焦点は、コンテナーを保護し、HPC 上のプロジェクトに関連するコンピューティング ノードをサニタイズすることです、と Guo 氏は言います。
極秘データを扱う政府機関は、通常のネットワークやワイヤレス アクセスを遮断することでシステムを保護するために、フォート ノックス スタイルのアプローチを採用しています。 「エアギャップ」アプローチは、マルウェアがシステムに侵入しないようにし、クリアランスを持つ許可されたユーザーのみがそのようなシステムにアクセスできるようにするのに役立ちます。
大学は、科学研究を行っている学生や学者がアクセスできるスーパーコンピューターもホストしています。 多くの場合、これらのシステムの管理者は、世界最速のコンピューターを構築するために自慢する権利を望んでいるシステム ベンダーによって管理されているセキュリティに対する制御が制限されています。
システムの管理をベンダーに任せると、ベンダーは特定のパフォーマンス機能を保証することを優先すると、米国国防総省のサイバーセキュリティ プログラム マネージャーであるリッキー グレッグは述べています。 ハイ パフォーマンス コンピューティング モダナイゼーション プログラム、パネル中。
「私が何年も前に学んだことの XNUMX つは、セキュリティに費やすお金が多ければ多いほど、パフォーマンスにかけるお金が少なくなるということでした。 このバランスを保つように努めています」とグレッグは言いました。
パネルの後の質疑応答セッションで、一部のシステム管理者は、システムのパフォーマンスを優先し、セキュリティの優先順位を下げるベンダー契約に不満を表明しました。 システム管理者は、独自のセキュリティ テクノロジを実装することは、ベンダーとの契約違反に相当すると述べました。 これにより、システムが公開されたままになりました。
一部のパネリストは、ベンダーが一定期間後にセキュリティを現場のスタッフに引き渡すという文言で契約を微調整できると述べました。
セキュリティへのさまざまなアプローチ
SC ショー フロアでは、政府機関、大学、ベンダーがスーパーコンピューティングについて講演しました。 セキュリティに関する会話はほとんど密室で行われましたが、スーパーコンピューティング インストールの性質上、システムを保護するためのさまざまなアプローチを俯瞰することができました。
テキサス大学オースティン校のTexas Advanced Computing Center (TACC) のブースでは、複数のスーパーコンピューターをホストしています。 Top500リスト 世界最速のスーパーコンピューターのうち、パフォーマンスとソフトウェアに重点が置かれました。 TACC のスーパーコンピューターは定期的にスキャンされており、センターには侵入を防ぐためのツールと、正当なユーザーを承認するための XNUMX 要素認証が用意されている、と担当者は述べています。
国防総省は、ユーザー、ワークロード、およびスーパーコンピューティング リソースを DMZ スタイルの境界エリアに分割し、すべての通信を厳重に保護して監視する、「ウォールド ガーデン」アプローチを採用しています。
マサチューセッツ工科大学 (MIT) は、ルート アクセスを排除することで、システム セキュリティに対してゼロトラスト アプローチを採用しています。 代わりに、というコマンド ライン エントリを使用します。 sudo HPC エンジニアに root 権限を付与します。 sudo コマンドは、HPC エンジニアがシステムで実行するアクティビティの証跡を提供します、と MIT リンカーン研究所スーパーコンピューティング センターのシニア スタッフ メンバーである Albert Reuther 氏は、パネル ディスカッションで述べました。
「私たちが本当に求めているのは、誰がキーボードにいて、誰がその人だったかを監査することです」とロイター氏は言います。
ベンダー レベルでのセキュリティの向上
ハイ パフォーマンス コンピューティングへの一般的なアプローチは、相互接続されたラックを備えた巨大なオンサイト インストールに大きく依存しており、何十年も変わっていません。 これは、オフサイトに移行している商用コンピューティング市場とは対照的です。 クラウドへ. 展示会の参加者は、オンプレミス システムを離れた後のデータ セキュリティについて懸念を表明しました。
AWS は、HPC をクラウドに導入することで HPC を最新化しようとしています。これにより、より高いレベルのセキュリティを維持しながら、オンデマンドでパフォーマンスをスケールアップできます。 同社は 7 月に、Elastic Compute Cloud (EC2) 上のハイ パフォーマンス コンピューティング用のクラウド インスタンス セットである HPC2g を導入しました。 EC5 は Nitro VXNUMX と呼ばれる特別なコントローラーを採用しており、機密コンピューティング レイヤーを提供して、保存、処理、または転送中のデータを保護します。
AWS のハイ パフォーマンス コンピューティング担当主席スペシャリスト ソリューション アーキテクトである Lowell Wofford 氏は、パネルディスカッションで次のように述べています。 彼はそれを付け加えた ハードウェア技術 仮想マシンでセキュリティとベアメタル パフォーマンスの両方を提供します。
インテルが構築中 コンフィデンシャル コンピューティング機能 プログラム実行用のロックされたエンクレーブである Software Guard Extensions (SGX) のように、最速のサーバー チップに組み込まれています。 Intel の McVeigh 氏によると、通信事業者による怠惰なアプローチにより、チップ メーカーは高性能システムのセキュリティ確保に躍起になっているという。
「Windows でセキュリティが重要視されていなかった時代を覚えています。 そして彼らは、『これを暴露して誰かが何かをするたびに、クレジット カード情報が盗まれるのではないかと心配するようになる』ことに気付きました」と McVeigh 氏は言います。 「ですから、そこには多くの努力があります。 [HPC にも] 同じことが適用される必要があると思います。」
