슈퍼컴퓨팅 2022 — 가장 민감한 데이터를 저장하는 세계에서 가장 빠른 컴퓨터에서 악당을 어떻게 막으시겠습니까?
이는 지난 달 Supercomputing 2022 컨퍼런스에서 점점 커지는 우려 사항이었습니다. 가장 빠른 시스템 성능을 달성하는 것은 매년 그렇듯이 뜨거운 주제였습니다. 그러나 속도를 추구하다 보니 과학, 날씨 모델링, 경제 예측 및 국가 안보 분야에서 중요한 작업 부하를 실행하는 이러한 시스템 중 일부를 보호하는 대가를 치르게 되었습니다.
하드웨어 또는 소프트웨어 형태로 보안을 구현하면 일반적으로 성능 저하가 발생하여 전체 시스템 성능과 계산 출력이 느려집니다. 슈퍼컴퓨팅에서 더 많은 마력을 요구함에 따라 보안은 나중에 생각하게 되었습니다.
“대부분 고성능 컴퓨팅에 관한 것입니다. 때때로 이러한 보안 메커니즘 중 일부는 견제와 균형을 수행하기 때문에 성능을 저하시킬 수 있습니다.
McVeigh는 "또한 '최상의 성능을 얻고 있는지 확인하고 싶습니다. 이것이 안전하게 실행되는 방식을 제어하기 위해 다른 메커니즘을 도입할 수 있다면 그렇게 하겠습니다.'"라고 말했습니다.
보안에는 인센티브가 필요합니다
성능 및 데이터 보안은 고성능 시스템을 판매하는 공급업체와 설치를 실행하는 운영자 사이의 끊임없는 싸움입니다.
NIST(National Institutes for Standards and Technology)의 컴퓨터 과학자인 Yang Guo는 "많은 공급업체는 변경이 시스템 성능에 부정적인 영향을 미치면 이러한 변경을 꺼려합니다."라고 말했습니다. 패널 세션 슈퍼컴퓨팅 2022에서
고성능 컴퓨팅 시스템 보안에 대한 열의가 부족하여 미국 정부가 개입하여 NIST가 문제를 해결하기 위한 작업 그룹을 구성했습니다. Guo는 시스템 및 데이터 보안을 위한 지침, 청사진 및 보호 장치 개발에 중점을 둔 NIST HPC 워킹 그룹을 이끌고 있습니다.
HPC 워킹 그룹은 2016년 XNUMX월 당시 버락 오바마 대통령의 제안을 바탕으로 만들어졌다. 대통령령 13702, National Strategic Computing Initiative를 시작했습니다. 그룹의 활동은 유럽의 슈퍼컴퓨터에 대한 공격, 그 중 일부는 COVID-19 연구에 참여했습니다.
HPC 보안은 복잡합니다
고성능 컴퓨팅의 보안은 바이러스 백신을 설치하고 이메일을 스캔하는 것만큼 간단하지 않다고 Guo는 말했습니다.
고성능 컴퓨터는 연구자가 시간을 예약하고 시스템에 연결하여 계산 및 시뮬레이션을 수행하는 공유 리소스입니다. 보안 요구 사항은 HPC 아키텍처에 따라 달라지며, 그 중 일부는 액세스 제어 또는 스토리지와 같은 하드웨어, 더 빠른 CPU 또는 계산을 위한 더 많은 메모리를 우선시할 수 있습니다. Guo는 HPC의 프로젝트와 관련된 컴퓨팅 노드를 정리하고 컨테이너를 보호하는 데 가장 중점을 둔다고 말했습니다.
극비 데이터를 다루는 정부 기관은 일반 네트워크 또는 무선 액세스를 차단하여 시스템을 보호하기 위해 Fort Knox 스타일의 접근 방식을 취합니다. "에어 갭(air-gapped)" 접근 방식은 맬웨어가 시스템에 침입하지 않도록 하고 허가를 받은 승인된 사용자만 그러한 시스템에 액세스할 수 있도록 합니다.
대학은 또한 과학 연구를 수행하는 학생과 학자가 액세스할 수 있는 슈퍼컴퓨터를 호스팅합니다. 대부분의 경우 이러한 시스템의 관리자는 세계에서 가장 빠른 컴퓨터를 구축하기 위해 자랑할 권리를 원하는 시스템 공급업체가 관리하는 보안에 대한 제어 권한이 제한되어 있습니다.
미 국방부의 사이버 보안 프로그램 관리자인 Rickey Gregg는 공급업체가 시스템 관리를 맡기면 특정 성능 기능을 보장하는 데 우선순위를 둘 것이라고 말했습니다. 고성능 컴퓨팅 현대화 프로그램, 패널 동안.
“수년 전에 교육받은 것 중 하나는 보안에 더 많은 돈을 쓸수록 성능에 대한 돈이 줄어든다는 것입니다. 우리는 이러한 균형을 유지하려고 노력하고 있습니다.”라고 Gregg는 말했습니다.
패널에 이어 질의 응답 세션에서 일부 시스템 관리자는 시스템의 성능을 우선시하고 보안을 우선시하지 않는 벤더 계약에 불만을 표명했습니다. 시스템 관리자는 자체 보안 기술을 구현하는 것은 공급업체와의 계약 위반에 해당한다고 말했습니다. 그것은 그들의 시스템을 노출 상태로 유지했습니다.
일부 패널은 공급업체가 일정 기간이 지난 후 현장 직원에게 보안을 인계하는 언어로 계약을 조정할 수 있다고 말했습니다.
보안에 대한 다양한 접근 방식
SC 쇼 플로어에서는 슈퍼컴퓨팅에 대해 이야기하는 정부 기관, 대학 및 공급업체를 주최했습니다. 보안에 대한 대화는 대부분 비밀리에 이루어졌지만 슈퍼컴퓨팅 설치의 특성은 시스템 보안에 대한 다양한 접근 방식에 대한 조감도를 제공했습니다.
오스틴에 있는 텍사스 대학의 TACC(Texas Advanced Computing Center) 부스에서 상위 500 개 목록 세계에서 가장 빠른 슈퍼컴퓨터 중 성능과 소프트웨어에 중점을 두었습니다. TACC 슈퍼컴퓨터는 정기적으로 스캔되며, 센터에는 적법한 사용자에게 권한을 부여하기 위한 침입 및 XNUMX단계 인증을 방지하는 도구가 있습니다.
국방부는 사용자, 워크로드 및 슈퍼컴퓨팅 리소스를 강력한 보호 및 모든 통신 모니터링을 통해 DMZ 스타일의 국경 지역으로 분할하여 "벽으로 둘러싸인 정원" 접근 방식을 더 많이 사용합니다.
MIT(Massachusetts Institute of Technology)는 루트 액세스를 제거하여 시스템 보안에 대한 제로 트러스트 접근 방식을 취하고 있습니다. 대신 다음과 같은 명령줄 항목을 사용합니다. sudo는 HPC 엔지니어에게 루트 권한을 제공합니다. sudo 명령은 HPC 엔지니어가 시스템에서 수행하는 활동의 흔적을 제공한다고 패널 토론 중에 MIT 링컨 연구소 슈퍼컴퓨팅 센터의 선임 직원인 Albert Reuther는 말했습니다.
Reuther는 “우리가 정말로 추구하는 것은 키보드에 누가 있는지, 그 사람이 누구인지 감사하는 것입니다.”라고 말했습니다.
공급업체 수준에서 보안 개선
상호 연결된 랙이 있는 대규모 현장 설치에 크게 의존하면서 고성능 컴퓨팅에 대한 일반적인 접근 방식은 수십 년 동안 변경되지 않았습니다. 이는 오프사이트로 이동하고 있으며 구름에. 쇼의 참가자들은 데이터가 온프레미스 시스템을 떠나면 데이터 보안에 대한 우려를 표명했습니다.
AWS는 더 높은 수준의 보안을 유지하면서 필요에 따라 성능을 확장할 수 있는 클라우드로 가져와 HPC를 현대화하려고 합니다. 7월에 이 회사는 Elastic Compute Cloud(EC2)에서 고성능 컴퓨팅을 위한 클라우드 인스턴스 세트인 HPC2g를 출시했습니다. EC5는 저장, 처리 또는 전송 중인 데이터를 보호하기 위해 기밀 컴퓨팅 계층을 제공하는 Nitro VXNUMX라는 특수 컨트롤러를 사용합니다.
"우리는 일반적인 플랫폼에 다양한 하드웨어 추가를 사용하여 보안, 액세스 제어, 네트워크 캡슐화 및 암호화와 같은 것을 관리합니다."라고 패널에서 고성능 컴퓨팅을 위한 AWS 수석 전문가 솔루션 설계자인 Lowell Wofford가 말했습니다. 그는 덧붙였다 하드웨어 기술 가상 머신에서 보안 및 베어메탈 성능을 모두 제공합니다.
인텔이 만들고 있는 기밀 컴퓨팅 기능 SGX(Software Guard Extensions)와 같이 프로그램 실행을 위한 잠긴 엔클레이브를 가장 빠른 서버 칩에 통합합니다. Intel의 McVeigh에 따르면 운영자의 부주의한 접근 방식으로 인해 칩 제조업체가 고성능 시스템을 확보하는 데 앞장서고 있습니다.
“Windows에서 보안이 중요하지 않았던 때가 기억납니다. 그리고 나서 그들은 '우리가 이것을 노출시키고 누군가가 무엇을 할 때마다 신용 카드 정보가 도난당할까봐 걱정할 것'이라는 것을 깨달았습니다.”라고 McVeigh는 말했습니다. “그래서 거기에 많은 노력이 있습니다. [HPC에도] 같은 것을 적용해야 한다고 생각합니다.”
