SUPERCOMPUTING 2022 — Hoe houd je de slechteriken buiten een aantal van 's werelds snelste computers die enkele van de meest gevoelige gegevens opslaan?
Dat was een groeiende zorg tijdens de Supercomputing 2022-conferentie van vorige maand. Het bereiken van de snelste systeemprestaties was een hot topic, zoals elk jaar. Maar het streven naar snelheid ging ten koste van de beveiliging van sommige van deze systemen, die kritieke taken uitvoeren op het gebied van wetenschap, weermodellering, economische prognoses en nationale veiligheid.
Het implementeren van beveiliging in de vorm van hardware of software gaat meestal gepaard met een prestatieverlies, wat de algehele systeemprestaties en de output van berekeningen vertraagt. De drang naar meer pk's in supercomputing heeft beveiliging tot een bijzaak gemaakt.
“Het gaat grotendeels om high-performance computing. En soms zullen sommige van deze beveiligingsmechanismen je prestaties verminderen omdat je wat checks and balances uitvoert”, zegt Jeff McVeigh, vice-president en algemeen manager van Super Compute Group bij Intel.
"Er is ook een 'ik wil er zeker van zijn dat ik de best mogelijke prestaties krijg, en als ik andere mechanismen kan gebruiken om te controleren hoe dit veilig wordt uitgevoerd, dan zal ik dat doen'", zegt McVeigh.
Beveiliging moet worden gestimuleerd
Prestaties en gegevensbeveiliging is een constante strijd tussen de leveranciers die de krachtige systemen verkopen en de operators die de installatie uitvoeren.
"Veel leveranciers aarzelen om deze wijzigingen aan te brengen als de wijziging een negatieve invloed heeft op de systeemprestaties", zei Yang Guo, een computerwetenschapper bij de National Institutes for Standards and Technology (NIST), tijdens een panel sessie bij Supercomputing 2022.
Het gebrek aan enthousiasme voor het beveiligen van krachtige computersystemen heeft de Amerikaanse regering ertoe aangezet om in te grijpen, waarbij de NIST een werkgroep heeft opgericht om het probleem aan te pakken. Guo leidt de NIST HPC-werkgroep, die zich richt op het ontwikkelen van richtlijnen, blauwdrukken en waarborgen voor systeem- en gegevensbeveiliging.
De HPC-werkgroep is in januari 2016 opgericht op basis van die van de toenmalige president Barack Obama Executive Order 13702, waarmee het National Strategic Computing Initiative werd gelanceerd. De activiteit van de groep nam weer toe na een golf van aanvallen op supercomputers in Europa, waarvan sommige betrokken waren bij COVID-19-onderzoek.
HPC-beveiliging is ingewikkeld
Beveiliging bij high-performance computing is niet zo eenvoudig als het installeren van antivirusprogramma's en het scannen van e-mails, zei Guo.
Krachtige computers zijn gedeelde bronnen, waarbij onderzoekers tijd boeken en verbinding maken met systemen om berekeningen en simulaties uit te voeren. Beveiligingsvereisten variëren op basis van HPC-architecturen, waarvan sommige prioriteit kunnen geven aan toegangscontrole, of hardware zoals opslag, snellere CPU's of meer geheugen voor berekeningen. De belangrijkste focus ligt op het beveiligen van de container en het opschonen van computerknooppunten die betrekking hebben op projecten op HPC, zei Guo.
Overheidsinstanties die handelen in uiterst geheime gegevens volgen een benadering in Fort Knox-stijl om systemen te beveiligen door reguliere netwerk- of draadloze toegang af te sluiten. De "air-gapped"-benadering helpt ervoor te zorgen dat malware het systeem niet binnendringt en dat alleen geautoriseerde gebruikers met toestemming toegang hebben tot dergelijke systemen.
Universiteiten hosten ook supercomputers, die toegankelijk zijn voor studenten en academici die wetenschappelijk onderzoek doen. Beheerders van deze systemen hebben in veel gevallen beperkte controle over de beveiliging, die wordt beheerd door systeemverkopers die opscheppen over het bouwen van 's werelds snelste computers.
Wanneer je het beheer van de systemen in handen van leveranciers legt, zullen zij prioriteit geven aan het garanderen van bepaalde prestatiemogelijkheden, zegt Rickey Gregg, programmamanager cyberbeveiliging bij het Amerikaanse ministerie van Defensie. High Performance Computing-moderniseringsprogramma, tijdens het panel.
“Een van de dingen waarin ik vele jaren geleden ben opgeleid, was dat hoe meer geld we uitgeven aan beveiliging, hoe minder geld we hebben voor prestaties. We proberen ervoor te zorgen dat we dit evenwicht hebben, 'zei Gregg.
Tijdens een vraag-en-antwoordsessie die volgde op het panel, uitten sommige systeembeheerders hun frustratie over leverancierscontracten die prioriteit geven aan de prestaties in het systeem en minder prioriteit geven aan beveiliging. De systeembeheerders zeiden dat het implementeren van beveiligingstechnologieën van eigen bodem zou neerkomen op contractbreuk met de leverancier. Dat hield hun systeem bloot.
Sommige panelleden zeiden dat contracten kunnen worden aangepast met taal waarin leveranciers na een bepaalde periode de beveiliging overdragen aan personeel ter plaatse.
Verschillende benaderingen van beveiliging
Op de SC-beursvloer spraken overheidsinstanties, universiteiten en verkopers over supercomputing. De gesprekken over beveiliging vonden meestal achter gesloten deuren plaats, maar de aard van supercomputing-installaties bood een overzicht van de verschillende benaderingen van beveiligingssystemen.
Op de stand van de Universiteit van Texas in Austin's Texas Advanced Computing Center (TACC), waar meerdere supercomputers in de Top500 lijst van 's werelds snelste supercomputers lag de focus op prestaties en software. TACC-supercomputers worden regelmatig gescand en het centrum beschikt over tools om invasies te voorkomen en tweefactorauthenticatie om legitieme gebruikers te autoriseren, aldus vertegenwoordigers.
Het ministerie van Defensie heeft meer een 'ommuurde tuin'-benadering, met gebruikers, werklasten en supercomputingbronnen die zijn gesegmenteerd in een DMZ-achtig grensgebied met zware beveiliging en monitoring van alle communicatie.
Het Massachusetts Institute of Technology (MIT) kiest voor een zero-trust-benadering van systeembeveiliging door root-toegang af te schaffen. In plaats daarvan gebruikt het een opdrachtregelitem genaamd sudo om rootrechten te verlenen aan HPC-engineers. Het sudo-commando biedt een spoor van activiteiten die HPC-ingenieurs op het systeem ondernemen, zei Albert Reuther, senior medewerker in het MIT Lincoln Laboratory Supercomputing Center, tijdens de paneldiscussie.
"Waar we echt op uit zijn, is dat auditen van wie er aan het toetsenbord zit, wie die persoon was," zei Reuther.
Verbetering van de beveiliging op leveranciersniveau
De algemene benadering van high-performance computing is in decennia niet veranderd, met een sterke afhankelijkheid van gigantische on-site installaties met onderling verbonden racks. Dat staat in schril contrast met de commerciële computermarkt, die naar een andere locatie verschuift naar de cloud. Deelnemers aan de show spraken hun bezorgdheid uit over gegevensbeveiliging zodra deze on-premises systemen verlaat.
AWS probeert HPC te moderniseren door het naar de cloud te brengen, waardoor de prestaties op aanvraag kunnen worden opgeschaald met behoud van een hoger beveiligingsniveau. In november introduceerde het bedrijf HPC7g, een set cloudinstanties voor high-performance computing op Elastic Compute Cloud (EC2). EC2 maakt gebruik van een speciale controller genaamd Nitro V5 die een vertrouwelijke computerlaag biedt om gegevens te beschermen terwijl deze worden opgeslagen, verwerkt of onderweg.
"We gebruiken verschillende hardware-toevoegingen aan typische platforms om zaken als beveiliging, toegangscontrole, netwerkinkapseling en codering te beheren", zei Lowell Wofford, AWS principal specialist solution architect for high performance computing, tijdens het panel. Hij voegde eraan toe hardware technieken bieden zowel de beveiliging als de bare-metal-prestaties in virtuele machines.
Intel is aan het bouwen vertrouwelijke computerfuncties zoals Software Guard Extensions (SGX), een vergrendelde enclave voor programma-uitvoering, in de snelste serverchips. Volgens Intel's McVeigh zet een lakse benadering van operators de chipmaker ertoe aan vooruit te lopen in het beveiligen van krachtige systemen.
“Ik herinner me dat beveiliging niet belangrijk was in Windows. En toen realiseerden ze zich: 'Als we dit openbaar maken en elke keer dat iemand iets doet, gaan ze zich zorgen maken dat hun creditcardgegevens worden gestolen', zei McVeigh. “Dus er is veel inspanning daar. Ik denk dat dezelfde dingen moeten gelden [in HPC].”
