SUPERCOMPUTING 2022 — Как уберечь злоумышленников от доступа к одним из самых быстрых компьютеров в мире, на которых хранятся самые конфиденциальные данные?
Это вызвало растущую озабоченность на конференции Supercomputing 2022 в прошлом месяце. Достижение максимальной производительности системы было горячей темой, как и каждый год. Но погоня за скоростью достигается за счет защиты некоторых из этих систем, которые выполняют критически важные рабочие нагрузки в области науки, моделирования погоды, экономического прогнозирования и национальной безопасности.
Реализация безопасности в форме аппаратного или программного обеспечения обычно влечет за собой снижение производительности, что замедляет общую производительность системы и результаты вычислений. Стремление к увеличению мощности суперкомпьютеров отодвинуло вопросы безопасности на второй план.
«По большей части речь идет о высокопроизводительных вычислениях. И иногда некоторые из этих механизмов безопасности снижают вашу производительность, потому что вы выполняете некоторые проверки и противовесы», — говорит Джефф Маквей, вице-президент и генеральный менеджер Super Compute Group в Intel.
«Кроме того, я хочу убедиться, что получаю максимально возможную производительность, и если я смогу внедрить другие механизмы для контроля того, как это будет безопасно выполняться, я это сделаю», — говорит Маквей.
Безопасность нуждается в стимулировании
Производительность и безопасность данных — это постоянная борьба между поставщиками высокопроизводительных систем и операторами, выполняющими установку.
«Многие поставщики неохотно вносят эти изменения, если они отрицательно влияют на производительность системы, — сказал Ян Го, специалист по информатике из Национального института стандартов и технологий (NIST), во время конференции. панельная сессия на Суперкомпьютинг 2022.
Отсутствие энтузиазма в отношении защиты высокопроизводительных вычислительных систем побудило правительство США вмешаться, и NIST создал рабочую группу для решения этой проблемы. Гуо возглавляет рабочую группу NIST HPC, которая занимается разработкой руководств, планов и средств защиты систем и данных.
Рабочая группа HPC была создана в январе 2016 года на основе Распоряжение 13702, которая запустила Национальную инициативу по стратегическим вычислениям. Активность группы возросла после атаки на суперкомпьютеры в Европе, некоторые из которых участвовали в исследованиях COVID-19.
Безопасность высокопроизводительных вычислений сложна
По словам Гуо, безопасность в высокопроизводительных вычислениях не так проста, как установка антивируса и сканирование электронной почты.
Высокопроизводительные компьютеры являются общими ресурсами, и исследователи резервируют время и подключаются к системам для проведения расчетов и моделирования. Требования безопасности будут различаться в зависимости от архитектуры высокопроизводительных вычислений, некоторые из которых могут отдавать приоритет управлению доступом или оборудованию, такому как хранилище, более быстрые процессоры или больше памяти для вычислений. По словам Гуо, основное внимание уделяется защите контейнера и дезинфекции вычислительных узлов, которые относятся к проектам на высокопроизводительных вычислениях.
Правительственные агентства, имеющие дело с сверхсекретными данными, используют подход в стиле Форт-Нокс для защиты систем, отключая обычный сетевой или беспроводной доступ. Подход с «воздушным зазором» помогает гарантировать, что вредоносное ПО не проникнет в систему, и что только авторизованные пользователи с допуском будут иметь доступ к таким системам.
В университетах также есть суперкомпьютеры, которые доступны для студентов и ученых, проводящих научные исследования. Администраторы этих систем во многих случаях имеют ограниченный контроль над безопасностью, которой управляют поставщики систем, которые хотят похвастаться тем, что создают самые быстрые компьютеры в мире.
Когда вы передаете управление системами в руки поставщиков, они будут уделять приоритетное внимание обеспечению определенных возможностей производительности, сказал Рики Грегг, руководитель программы кибербезопасности в Министерстве обороны США. Программа модернизации высокопроизводительных вычислений, во время панели.
«Одна из вещей, которой я научился много лет назад, заключалась в том, что чем больше денег мы тратим на безопасность, тем меньше у нас денег на производительность. Мы пытаемся убедиться, что у нас есть этот баланс», — сказал Грегг.
Во время сессии вопросов и ответов, последовавшей за панелью, некоторые системные администраторы выразили разочарование по поводу контрактов с поставщиками, в которых приоритет отдается производительности системы, а безопасность отходит на второй план. Системные администраторы заявили, что внедрение собственных технологий безопасности будет равносильно нарушению контракта с поставщиком. Это держало их систему незащищенной.
Некоторые участники дискуссии заявили, что контракты могут быть изменены с помощью формулировок, на которых поставщики передают безопасность персоналу на месте по истечении определенного периода времени.
Различные подходы к безопасности
На выставочной площадке SC правительственные учреждения, университеты и поставщики говорили о суперкомпьютерах. Разговоры о безопасности в основном велись за закрытыми дверями, но природа суперкомпьютерных установок позволяла взглянуть на различные подходы к обеспечению безопасности систем с высоты птичьего полета.
На стенде Техасского университета в Техасском центре передовых вычислений (TACC) в Остине, в котором размещены несколько суперкомпьютеров в Список Top500 самых быстрых в мире суперкомпьютеров основное внимание уделялось производительности и программному обеспечению. По словам представителей, суперкомпьютеры TACC регулярно сканируются, и в центре есть инструменты для предотвращения вторжений и двухфакторная аутентификация для авторизации законных пользователей.
У Министерства обороны больше подход «обнесенный стеной», когда пользователи, рабочие нагрузки и ресурсы суперкомпьютеров сегментированы в пограничной зоне демилитаризованной зоны с усиленной защитой и мониторингом всех коммуникаций.
Массачусетский технологический институт (MIT) использует подход с нулевым доверием к безопасности системы, избавляясь от root-доступа. Вместо этого он использует запись командной строки, называемую Sudo чтобы предоставить root-права инженерам HPC. Команда sudo обеспечивает отслеживание действий инженеров высокопроизводительных вычислений в системе, сказал во время панельной дискуссии Альберт Ройтер, старший сотрудник Лабораторного суперкомпьютерного центра Линкольна при Массачусетском технологическом институте.
«Что нам действительно нужно, так это проверка того, кто сидит за клавиатурой, кто был этим человеком», — сказал Ройтер.
Повышение безопасности на уровне поставщика
Общий подход к высокопроизводительным вычислениям не менялся десятилетиями, при этом в значительной степени полагались на гигантские локальные установки со взаимосвязанными стойками. Это резко контрастирует с рынком коммерческих компьютеров, который перемещается за пределы офиса и в облако. Участники выставки выразили обеспокоенность по поводу безопасности данных после того, как они покинут локальные системы.
AWS пытается модернизировать высокопроизводительные вычисления, перенеся их в облако, что может повысить производительность по требованию при сохранении более высокого уровня безопасности. В ноябре компания представила HPC7g, набор облачных инстансов для высокопроизводительных вычислений в Elastic Compute Cloud (EC2). В EC2 используется специальный контроллер Nitro V5, обеспечивающий уровень конфиденциальных вычислений для защиты данных во время их хранения, обработки или передачи.
«Мы используем различные аппаратные дополнения к типичным платформам для управления такими вещами, как безопасность, контроль доступа, инкапсуляция сети и шифрование, — сказал во время панели Лоуэлл Уоффорд, главный специалист-архитектор решений AWS для высокопроизводительных вычислений. Он добавил, что аппаратные методы обеспечить как безопасность, так и производительность «голого железа» на виртуальных машинах.
Intel строит конфиденциальные вычислительные функции например, Software Guard Extensions (SGX), закрытый анклав для выполнения программ, в свои самые быстрые серверные чипы. По словам Маквея из Intel, апатичный подход операторов побуждает производителя чипов делать рывок вперед в обеспечении безопасности высокопроизводительных систем.
«Я помню времена, когда безопасность не была важна в Windows. А потом они поняли: «Если мы сделаем это открытым и каждый раз, когда кто-то что-то делает, они будут беспокоиться о том, что данные их кредитной карты могут быть украдены», — сказал Маквей. «Так что там много усилий. Я думаю, что то же самое нужно применять [в высокопроизводительных вычислениях]».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
