Varnost je drugorazredni državljan v visokozmogljivem računalništvu

SUPERRAČUNALNIŠTVO 2022 — Kako negativcem preprečiti dostop do nekaterih najhitrejših računalnikov na svetu, ki shranjujejo nekatere najbolj občutljive podatke?

To je bilo na zadnji mesečni konferenci Supercomputing 2022 vse večja skrb. Doseganje najhitrejšega delovanja sistema je bila vroča tema, kot je vsako leto. Toda prizadevanje za hitrost je prišlo za ceno zavarovanja nekaterih od teh sistemov, ki izvajajo kritične delovne obremenitve v znanosti, modeliranju vremena, gospodarskem napovedovanju in nacionalni varnosti.

Implementacija varnosti v obliki strojne ali programske opreme običajno vključuje zmanjšanje zmogljivosti, kar upočasni splošno delovanje sistema in rezultat izračunov. Prizadevanje za več konjskih moči v superračunalnikih je poskrbelo, da je varnost postala naknadna misel.

»Večinoma gre za visoko zmogljivo računalništvo. In včasih bodo nekateri od teh varnostnih mehanizmov zmanjšali vašo zmogljivost, ker izvajate nekatera preverjanja in ravnovesja,« pravi Jeff McVeigh, podpredsednik in generalni direktor skupine Super Compute pri Intelu.

»Obstaja tudi 'Želim se prepričati, da dosegam najboljšo možno zmogljivost, in če lahko vstavim druge mehanizme za nadzor nad tem, kako se to varno izvaja, bom to storil,'« pravi McVeigh.

Varnost potrebuje spodbudo

Zmogljivost in varnost podatkov sta stalni boj med prodajalci, ki prodajajo visoko zmogljive sisteme, in operaterji, ki izvajajo namestitev.

"Številni prodajalci neradi izvajajo te spremembe, če sprememba negativno vpliva na delovanje sistema," je med panelna seja na Supercomputing 2022.

Pomanjkanje navdušenja nad zagotavljanjem visoko zmogljivih računalniških sistemov je spodbudilo ameriško vlado, da je ukrepala, pri čemer je NIST ustanovil delovno skupino za reševanje tega vprašanja. Guo vodi delovno skupino NIST HPC, ki se osredotoča na razvoj smernic, načrtov in zaščitnih ukrepov za varnost sistema in podatkov.

Delovna skupina HPC je bila ustanovljena januarja 2016 na podlagi takratnega predsednika Baracka Obame. Odredba 13702, ki je sprožil Nacionalno pobudo za strateško računalništvo. Dejavnost skupine se je okrepila po nizu napadi na superračunalnike v Evropi, od katerih so bili nekateri vključeni v raziskavo COVID-19.

Varnost HPC je zapletena

Varnost v visoko zmogljivem računalništvu ni tako preprosta kot namestitev protivirusnega programa in skeniranje e-pošte, je dejal Guo.

Visokozmogljivi računalniki so skupni viri, pri čemer si raziskovalci rezervirajo čas in se povežejo v sisteme za izvajanje izračunov in simulacij. Varnostne zahteve se bodo razlikovale glede na arhitekture HPC, od katerih bodo nekatere morda dale prednost nadzoru dostopa ali strojni opremi, kot je shranjevanje, hitrejši procesorji ali več pomnilnika za izračune. Glavni poudarek je na varovanju vsebnika in saniranju računalniških vozlišč, ki se nanašajo na projekte na HPC, je dejal Guo.

Vladne agencije, ki se ukvarjajo s strogo zaupnimi podatki, uporabljajo pristop v slogu Fort Knoxa za zaščito sistemov tako, da prekinejo običajni omrežni ali brezžični dostop. Pristop z "zračno režo" pomaga zagotoviti, da zlonamerna programska oprema ne vdre v sistem in da imajo samo pooblaščeni uporabniki z dovoljenjem dostop do takih sistemov.

Univerze gostijo tudi superračunalnike, ki so dostopni študentom in akademikom, ki izvajajo znanstvene raziskave. Skrbniki teh sistemov imajo v mnogih primerih omejen nadzor nad varnostjo, ki jo upravljajo prodajalci sistemov, ki se želijo pohvaliti z izdelavo najhitrejših računalnikov na svetu.

Ko upravljanje sistemov zaupate prodajalcem, bodo ti dali prednost zagotavljanju določenih zmogljivosti, je dejal Rickey Gregg, vodja programa kibernetske varnosti pri ministrstvu za obrambo ZDA. Program za posodobitev visokozmogljivega računalništva, med panelom.

»Ena od stvari, o kateri sem se izobraževal pred mnogimi leti, je bila, da več denarja kot porabimo za varnost, manj denarja imamo za uspešnost. Poskušamo zagotoviti to ravnotežje,« je dejal Gregg.

Med sejo vprašanj in odgovorov, ki je sledila panelu, so nekateri sistemski skrbniki izrazili razočaranje nad pogodbami prodajalcev, ki dajejo prednost zmogljivosti v sistemu in dajejo prednost varnosti. Sistemski skrbniki so rekli, da bi uvedba domačih varnostnih tehnologij pomenila kršitev pogodbe s prodajalcem. To je ohranjalo njihov sistem izpostavljen.

Nekateri razpravljavci so dejali, da bi bilo mogoče pogodbe spremeniti z jezikom, v katerem prodajalci po določenem času predajo varnost osebju na kraju samem.

Različni pristopi k varnosti

Razstavni prostor SC je gostil vladne agencije, univerze in prodajalce, ki so govorili o superračunalnikih. Pogovori o varnosti so večinoma potekali za zaprtimi vrati, vendar je narava superračunalniških instalacij omogočila pogled iz ptičje perspektive na različne pristope k varovanju sistemov.

Na stojnici Univerze v Teksasu v Austinu Texas Advanced Computing Center (TACC), ki gosti več superračunalnikov v Seznam Top500 najhitrejših superračunalnikov na svetu je bil poudarek na zmogljivosti in programski opremi. Superračunalnike TACC redno pregledujejo, center pa ima orodja za preprečevanje vdorov in dvofaktorsko avtentikacijo za avtorizacijo zakonitih uporabnikov, so povedali predstavniki.

Ministrstvo za obrambo ima bolj pristop "obzidanega vrta", z uporabniki, delovnimi obremenitvami in superračunalniškimi viri, segmentiranimi v mejno območje DMZ z močno zaščito in nadzorom vseh komunikacij.

Tehnološki inštitut Massachusetts (MIT) uporablja pristop ničelnega zaupanja k varnosti sistema, tako da se znebi korenskega dostopa. Namesto tega uporablja vnos ukazne vrstice, imenovan sudo za zagotavljanje korenskih pravic HPC inženirjem. Ukaz sudo zagotavlja sled dejavnosti, ki jih inženirji HPC izvajajo v sistemu, je med panelno razpravo povedal Albert Reuther, višji uslužbenec v MIT Lincoln Laboratory Supercomputing Center.

»V resnici iščemo tisto revizijo, kdo je za tipkovnico, kdo je bila ta oseba,« je dejal Reuther.

Izboljšanje varnosti na ravni prodajalca

Splošni pristop do visokozmogljivega računalništva se ni spremenil v desetletjih, z veliko odvisnostjo od velikanskih inštalacij na kraju samem z med seboj povezanimi omarami. To je v ostrem nasprotju s komercialnim računalniškim trgom, ki se seli stran in v oblak. Udeleženci oddaje so izrazili zaskrbljenost glede varnosti podatkov, ko ti zapustijo sisteme na mestu uporabe.

AWS poskuša posodobiti HPC tako, da ga prenese v oblak, ki lahko poveča zmogljivost na zahtevo in hkrati ohrani višjo raven varnosti. Novembra je podjetje predstavilo HPC7g, nabor instanc v oblaku za visoko zmogljivo računalništvo v Elastic Compute Cloud (EC2). EC2 uporablja poseben krmilnik, imenovan Nitro V5, ki zagotavlja zaupno računalniško plast za zaščito podatkov, ko so shranjeni, obdelani ali med prenosom.

»Uporabljamo različne dodatke strojne opreme k tipičnim platformam za upravljanje stvari, kot so varnost, nadzor dostopa, enkapsulacija omrežja in šifriranje,« je med panelom povedal Lowell Wofford, glavni arhitekt specializiranih rešitev AWS za visoko zmogljivo računalništvo. Dodal je, da strojne tehnike zagotavlja tako varnost kot golo delovanje v virtualnih strojih.

Intel gradi zaupne računalniške funkcije kot so Software Guard Extensions (SGX), zaklenjena enklava za izvajanje programov, v svoje najhitrejše strežniške čipe. Po besedah ​​Intelovega McVeigha je nemiran pristop operaterjev spodbudil proizvajalca čipov, da skoči naprej pri zagotavljanju visoko zmogljivih sistemov.

»Spomnim se, ko v sistemu Windows varnost ni bila pomembna. In potem so ugotovili: 'Če bomo to razkrili in bo vsakič, ko bo kdo kar koli naredil, skrbelo, da bodo ukradli podatke o njegovi kreditni kartici,' je dejal McVeigh. »Tam je torej veliko truda. Mislim, da morajo iste stvari veljati [v HPC].«