Securitatea este un cetățean de clasa a doua în calculul de înaltă performanță

SUPERCOMPUTING 2022 — Cum îi feri pe cei răi de unele dintre cele mai rapide computere din lume care stochează unele dintre cele mai sensibile date?

Aceasta a fost o preocupare tot mai mare la conferința Supercomputing 2022 de luna trecută. Obținerea celei mai rapide performanțe a sistemului a fost un subiect fierbinte, așa cum este în fiecare an. Dar căutarea vitezei a venit cu prețul securizării unora dintre aceste sisteme, care rulează sarcini critice în știință, modelare meteorologică, prognoză economică și securitate națională.

Implementarea securității sub formă de hardware sau software implică de obicei o penalizare de performanță, care încetinește performanța generală a sistemului și rezultatul calculelor. Împingerea pentru mai mulți cai putere în supercomputer a făcut ca securitatea să fie o idee ulterioară.

„În cea mai mare parte, este vorba despre calcularea de înaltă performanță. Și uneori, unele dintre aceste mecanisme de securitate îți vor reduce performanța, deoarece faci niște verificări și echilibrări”, spune Jeff McVeigh, vicepreședinte și director general al Super Compute Group la Intel.

„Există, de asemenea, un „Vreau să mă asigur că obțin cea mai bună performanță posibilă și dacă pot introduce alte mecanisme pentru a controla modul în care se execută în siguranță, o voi face”,” spune McVeigh.

Stimularea necesităților de securitate

Performanța și securitatea datelor este o luptă constantă între vânzătorii care vând sistemele de înaltă performanță și operatorii care execută instalația.

„Mulți furnizori sunt reticenți în a face aceste modificări dacă schimbarea are un impact negativ asupra performanței sistemului”, a declarat Yang Guo, informatician la Institutul Național de Standarde și Tehnologie (NIST), în timpul unei sesiune panel la Supercomputing 2022.

Lipsa de entuziasm pentru securizarea sistemelor de calcul de înaltă performanță a determinat guvernul SUA să intervină, NIST creând un grup de lucru pentru a aborda problema. Guo conduce Grupul de lucru NIST HPC, care se concentrează pe dezvoltarea de linii directoare, planuri și garanții pentru securitatea sistemului și a datelor.

Grupul de lucru HPC a fost creat în ianuarie 2016 pe baza președintelui de atunci Barack Obama Ordinul executiv 13702, care a lansat Inițiativa Națională de Calcul Strategic. Activitatea grupului a reluat după o serie de atacuri asupra supercalculatoarelor din Europa, dintre care unii au fost implicați în cercetarea COVID-19.

Securitatea HPC este complicată

Securitatea în calculul de înaltă performanță nu este la fel de simplă ca instalarea de antivirus și scanarea e-mailurilor, a spus Guo.

Calculatoarele de înaltă performanță sunt resurse partajate, cercetătorii își rezervă timp și se conectează la sisteme pentru a efectua calcule și simulări. Cerințele de securitate vor varia în funcție de arhitecturile HPC, dintre care unele pot acorda prioritate controlului accesului sau hardware-ului precum stocarea, procesoarelor mai rapide sau mai multă memorie pentru calcule. Accentul principal este pe securizarea containerului și pe igienizarea nodurilor de calcul care se referă la proiectele HPC, a spus Guo.

Agențiile guvernamentale care se ocupă de date extrem de secrete adoptă o abordare în stil Fort Knox pentru a securiza sistemele prin întreruperea accesului obișnuit la rețea sau fără fir. Abordarea „aer-gapped” ajută la asigurarea faptului că malware-ul nu invadează sistemul și că numai utilizatorii autorizați cu autorizație au acces la astfel de sisteme.

Universitățile găzduiesc și supercalculatoare, care sunt accesibile studenților și cadrelor universitare care desfășoară cercetări științifice. Administratorii acestor sisteme au în multe cazuri un control limitat asupra securității, care este gestionat de furnizorii de sisteme care doresc drepturi de lăudare pentru construirea celor mai rapide computere din lume.

Când puneți managementul sistemelor în mâna vânzătorilor, aceștia vor acorda prioritate garantării anumitor capacități de performanță, a spus Rickey Gregg, manager de program de securitate cibernetică la Departamentul Apărării al SUA. Program de modernizare a calculatoarelor de înaltă performanță, în timpul panelului.

„Unul dintre lucrurile despre care am fost educat în urmă cu mulți ani a fost că, cu cât cheltuim mai mulți bani pentru securitate, cu atât avem mai puțini bani pentru performanță. Încercăm să ne asigurăm că avem acest echilibru”, a spus Gregg.

În timpul unei sesiuni de întrebări și răspunsuri care a urmat panoului, unii administratori de sistem și-au exprimat frustrarea față de contractele cu furnizorii care prioritizează performanța în sistem și deprioritizează securitatea. Administratorii de sistem au spus că implementarea tehnologiilor de securitate locale ar echivala cu o încălcare a contractului cu furnizorul. Asta le-a ținut sistemul expus.

Unii membri ai grupului au spus că contractele ar putea fi modificate cu limba în care vânzătorii predă securitatea personalului de la fața locului după o anumită perioadă de timp.

Diferite abordări ale securității

Salonul SC a găzduit agenții guvernamentale, universități și vânzători care vorbeau despre supercomputing. Conversațiile despre securitate s-au desfășurat în cea mai mare parte în spatele ușilor închise, dar natura instalațiilor de supercalculatură a oferit o vedere de pasăre asupra diferitelor abordări ale sistemelor de securizare.

La standul Universității din Texas din Texas Advanced Computing Center (TACC) din Austin, care găzduiește mai multe supercomputere în Top 500 dintre cele mai rapide supercomputere din lume, accentul s-a pus pe performanță și software. Supercomputerele TACC sunt scanate în mod regulat, iar centrul are instrumente pentru a preveni invaziile și autentificarea cu doi factori pentru a autoriza utilizatorii legitimi, au spus reprezentanții.

Departamentul Apărării are mai mult o abordare de „grădină cu pereți”, cu utilizatori, sarcini de lucru și resurse de supercomputing segmentate într-o zonă de frontieră DMZ-stye, cu protecții grele și monitorizare a tuturor comunicațiilor.

Institutul de Tehnologie din Massachusetts (MIT) adoptă o abordare fără încredere a securității sistemului, eliminând accesul root. În schimb, folosește o intrare de linie de comandă numită sudo pentru a oferi privilegii root inginerilor HPC. Comanda sudo oferă o serie de activități pe care inginerii HPC le întreprind pe sistem, a declarat Albert Reuther, membru senior al personalului MIT Lincoln Laboratory Supercomputing Center, în timpul discuției.

„Ceea ce căutăm cu adevărat este acel audit al cine este la tastatură, cine a fost acea persoană”, a spus Reuther.

Îmbunătățirea securității la nivel de furnizor

Abordarea generală a calculatoarelor de înaltă performanță nu s-a schimbat în decenii, cu o dependență puternică de instalații uriașe la fața locului cu rafturi interconectate. Acest lucru este în contrast puternic cu piața de calcul comercială, care se mută în afara site-ului și spre nor. Participanții la spectacol și-au exprimat îngrijorarea cu privire la securitatea datelor odată ce acestea părăsesc sistemele locale.

AWS încearcă să modernizeze HPC aducând-o în cloud, care poate crește performanța la cerere, menținând în același timp un nivel mai ridicat de securitate. În noiembrie, compania a introdus HPC7g, un set de instanțe cloud pentru calcul de înaltă performanță pe Elastic Compute Cloud (EC2). EC2 folosește un controler special numit Nitro V5 care oferă un nivel de calcul confidențial pentru a proteja datele pe măsură ce sunt stocate, procesate sau în tranzit.

„Folosim diverse completări hardware la platformele tipice pentru a gestiona lucruri precum securitatea, controalele accesului, încapsularea rețelei și criptarea”, a declarat Lowell Wofford, arhitect principal de soluții specializate AWS pentru calcul de înaltă performanță, în timpul panelului. El a adăugat că tehnici hardware oferă atât securitatea, cât și performanța bare-metal în mașinile virtuale.

Intel construiește caracteristici de calcul confidențiale cum ar fi Software Guard Extensions (SGX), o enclavă blocată pentru execuția programului, în cele mai rapide cipuri de server ale sale. Potrivit lui McVeigh de la Intel, o abordare nepăsătoare a operatorilor îl determină pe producătorul de cipuri să avanseze în securizarea sistemelor de înaltă performanță.

„Îmi amintesc când securitatea nu era importantă în Windows. Și apoi și-au dat seama „Dacă expunem acest lucru și de fiecare dată când cineva face ceva, își va face griji că informațiile cardului de credit le vor fi furate”, a spus McVeigh. „Deci există mult efort acolo. Cred că aceleași lucruri trebuie să se aplice [în HPC].”