SUPERCOMPUTING 2022 — Hvordan holder du skurkene unna noen av verdens raskeste datamaskiner som lagrer noen av de mest sensitive dataene?
Det var en økende bekymring på forrige måneds Supercomputing 2022-konferanse. Å oppnå den raskeste systemytelsen var et hett tema, som det er hvert år. Men jakten på hastighet har gått på bekostning av å sikre noen av disse systemene, som kjører kritiske arbeidsbelastninger innen vitenskap, værmodellering, økonomiske prognoser og nasjonal sikkerhet.
Implementering av sikkerhet i form av maskinvare eller programvare innebærer vanligvis en ytelsesstraff, som bremser den generelle systemytelsen og utdataene fra beregninger. Presset for flere hestekrefter innen superdatabehandling har gjort sikkerhet til en ettertanke.
"For det meste handler det om databehandling med høy ytelse. Og noen ganger vil noen av disse sikkerhetsmekanismene redusere ytelsen din fordi du gjør noen kontroller og balanser, sier Jeff McVeigh, visepresident og daglig leder for Super Compute Group hos Intel.
"Det er også et "Jeg vil sørge for at jeg får best mulig ytelse, og hvis jeg kan sette inn andre mekanismer for å kontrollere hvordan dette utføres sikkert, skal jeg gjøre det," sier McVeigh.
Sikkerhet må stimuleres
Ytelse og datasikkerhet er en konstant kamp mellom leverandørene som selger høyytelsessystemene og operatørene som driver installasjonen.
"Mange leverandører er motvillige til å gjøre disse endringene hvis endringen påvirker systemytelsen negativt," sa Yang Guo, en dataforsker ved National Institutes for Standards and Technology (NIST), under en paneløkt på Supercomputing 2022.
Mangelen på entusiasme for å sikre datasystemer med høy ytelse har fått den amerikanske regjeringen til å gå inn, og NIST opprettet en arbeidsgruppe for å ta opp problemet. Guo leder NIST HPC Working Group, som fokuserer på å utvikle retningslinjer, tegninger og sikkerhetstiltak for system- og datasikkerhet.
HPC Working Group ble opprettet i januar 2016 basert på daværende president Barack Obamas Executive Order 13702, som lanserte National Strategic Computing Initiative. Gruppens aktivitet tok seg opp etter en bølge av angrep på superdatamaskiner i Europa, hvorav noen var involvert i covid-19-forskning.
HPC-sikkerhet er komplisert
Sikkerhet i høyytelses databehandling er ikke så enkelt som å installere antivirus og skanne e-poster, sa Guo.
Høyytelsesdatamaskiner er delte ressurser, med forskere som bestiller tid og kobler seg til systemer for å utføre beregninger og simuleringer. Sikkerhetskravene vil variere basert på HPC-arkitekturer, hvorav noen kan prioritere tilgangskontroll, eller maskinvare som lagring, raskere CPUer eller mer minne for beregninger. Toppfokuset er på å sikre beholderen og desinficere databehandlingsnoder som er knyttet til prosjekter på HPC, sa Guo.
Offentlige etater som handler med topphemmelige data, bruker en Fort Knox-stil til sikre systemer ved å kutte av vanlig nettverkstilgang eller trådløs tilgang. Den "luftgappede" tilnærmingen bidrar til å sikre at skadelig programvare ikke invaderer systemet, og at kun autoriserte brukere med godkjenning har tilgang til slike systemer.
Universiteter er også vert for superdatamaskiner, som er tilgjengelige for studenter og akademikere som driver vitenskapelig forskning. Administratorer av disse systemene har i mange tilfeller begrenset kontroll over sikkerheten, som administreres av systemleverandører som ønsker å skryte for å bygge verdens raskeste datamaskiner.
Når du legger administrasjonen av systemene i hånden til leverandører, vil de prioritere å garantere visse ytelsesevner, sa Rickey Gregg, programleder for cybersikkerhet ved det amerikanske forsvarsdepartementet. Program for modernisering av databehandling med høy ytelse, under panelet.
"En av tingene jeg ble utdannet til for mange år siden var at jo mer penger vi bruker på sikkerhet, jo mindre penger har vi til ytelse. Vi prøver å sørge for at vi har denne balansen, sa Gregg.
Under en spørsmål-og-svar-sesjon etter panelet uttrykte noen systemadministratorer frustrasjon over leverandørkontrakter som prioriterer ytelse i systemet og deprioriterer sikkerhet. Systemadministratorene sa at implementering av hjemmelagde sikkerhetsteknologier ville utgjøre kontraktsbrudd med leverandøren. Det holdt systemet deres utsatt.
Noen paneldeltakere sa at kontrakter kan tilpasses med språk der leverandører overlater sikkerhet til ansatte på stedet etter en viss tidsperiode.
Ulike tilnærminger til sikkerhet
SC-utstillingsgulvet var vert for offentlige etater, universiteter og leverandører som snakket om superdatabehandling. Samtalene om sikkerhet foregikk for det meste bak lukkede dører, men karakteren av superdatainstallasjoner ga et fugleperspektiv av de ulike tilnærmingene til sikring av systemer.
På standen til University of Texas i Austins Texas Advanced Computing Center (TACC), som er vert for flere superdatamaskiner i Topp500-liste av verdens raskeste superdatamaskiner var fokus på ytelse og programvare. TACC-superdatamaskiner blir skannet regelmessig, og senteret har verktøy på plass for å forhindre invasjoner og tofaktorautentisering for å autorisere legitime brukere, sa representanter.
Forsvarsdepartementet har mer en "walled garden"-tilnærming, med brukere, arbeidsbelastninger og superdataressurser segmentert i et DMZ-stye-grenseområde med kraftig beskyttelse og overvåking av all kommunikasjon.
Massachusetts Institute of Technology (MIT) tar en null-tillit tilnærming til systemsikkerhet ved å kvitte seg med root-tilgang. I stedet bruker den en kommandolinjeoppføring kalt sudo å gi root-privilegier til HPC-ingeniører. Sudo-kommandoen gir et spor av aktiviteter HPC-ingeniører utfører på systemet, sa Albert Reuther, seniormedarbeider i MIT Lincoln Laboratory Supercomputing Center, under paneldiskusjonen.
"Det vi egentlig er ute etter er den revisjonen av hvem som er ved tastaturet, hvem som var den personen," sa Reuther.
Forbedring av sikkerheten på leverandørnivå
Den generelle tilnærmingen til høyytelses databehandling har ikke endret seg på flere tiår, med stor avhengighet av gigantiske installasjoner på stedet med sammenkoblede stativer. Det er i skarp kontrast til det kommersielle datamarkedet, som beveger seg offsite og til skyen. Deltakerne på messen uttrykte bekymring for datasikkerhet når den forlater lokale systemer.
AWS prøver å modernisere HPC ved å bringe den til skyen, som kan skalere opp ytelsen på forespørsel samtidig som den opprettholder et høyere sikkerhetsnivå. I november introduserte selskapet HPC7g, et sett med skyforekomster for høyytelses databehandling på Elastic Compute Cloud (EC2). EC2 bruker en spesiell kontroller kalt Nitro V5 som gir et konfidensielt datalag for å beskytte data når de lagres, behandles eller under transport.
"Vi bruker forskjellige maskinvaretillegg til typiske plattformer for å administrere ting som sikkerhet, tilgangskontroller, nettverksinnkapsling og kryptering," sa Lowell Wofford, AWS hovedspesialistløsningsarkitekt for databehandling med høy ytelse, under panelet. Han la til det maskinvare teknikker gir både sikkerheten og bare-metal-ytelsen i virtuelle maskiner.
Intel bygger konfidensielle datafunksjoner som Software Guard Extensions (SGX), en låst enklave for programkjøring, inn i sine raskeste serverbrikker. I følge Intels McVeigh, får en mangelfull tilnærming fra operatører brikkeprodusenten til å hoppe videre med å sikre høyytelsessystemer.
«Jeg husker da sikkerhet ikke var viktig i Windows. Og så skjønte de: "Hvis vi avslører dette og hver gang noen gjør noe, kommer de til å bekymre seg for at kredittkortinformasjonen deres blir stjålet," sa McVeigh. «Så det er mye innsats der. Jeg tror de samme tingene må gjelde [i HPC]."
