SUPERCOMPUTING 2022 — Hur håller du skurkarna borta från några av världens snabbaste datorer som lagrar några av de mest känsliga uppgifterna?
Det var ett växande problem vid förra månadens Supercomputing 2022-konferens. Att uppnå den snabbaste systemprestandan var ett hett ämne, precis som det är varje år. Men jakten på hastighet har kommit på bekostnad av att säkra några av dessa system, som kör kritiska arbetsbelastningar inom vetenskap, vädermodellering, ekonomiska prognoser och nationell säkerhet.
Implementering av säkerhet i form av hårdvara eller mjukvara innebär vanligtvis en prestationspåföljd, som saktar ner den övergripande systemprestandan och utmatningen av beräkningar. Strävan efter fler hästkrafter inom superdatorer har gjort säkerhet till en eftertanke.
"För det mesta handlar det om högpresterande datoranvändning. Och ibland kommer vissa av dessa säkerhetsmekanismer att minska din prestanda eftersom du gör vissa kontroller och balanser, säger Jeff McVeigh, vice vd och general manager för Super Compute Group på Intel.
"Det finns också ett "jag vill se till att jag får bästa möjliga prestanda, och om jag kan sätta in andra mekanismer för att kontrollera hur det här utförs säkert, så gör jag det", säger McVeigh.
Säkerhet behöver stimulans
Prestanda och datasäkerhet är en konstant strid mellan de leverantörer som säljer de högpresterande systemen och de operatörer som driver installationen.
"Många leverantörer är ovilliga att göra dessa ändringar om förändringen negativt påverkar systemets prestanda", sa Yang Guo, datavetare vid National Institutes for Standards and Technology (NIST), under en panelsession på Supercomputing 2022.
Bristen på entusiasm för att säkra högpresterande datorsystem har fått den amerikanska regeringen att gå in, och NIST skapade en arbetsgrupp för att ta itu med problemet. Guo leder NIST HPC Working Group, som fokuserar på att utveckla riktlinjer, ritningar och säkerhetsåtgärder för system- och datasäkerhet.
HPC Working Group skapades i januari 2016 baserad på dåvarande president Barack Obamas Executive Order 13702, som lanserade National Strategic Computing Initiative. Gruppens aktivitet tog fart efter en ström av attacker mot superdatorer i Europa, av vilka några var involverade i covid-19-forskning.
HPC-säkerhet är komplicerat
Säkerhet i högpresterande datorer är inte så enkelt som att installera antivirus och skanna e-post, sa Guo.
Högpresterande datorer är delade resurser, där forskare bokar tid och ansluter till system för att utföra beräkningar och simuleringar. Säkerhetskraven kommer att variera beroende på HPC-arkitekturer, av vilka vissa kan prioritera åtkomstkontroll, eller hårdvara som lagring, snabbare CPU:er eller mer minne för beräkningar. Huvudfokus ligger på att säkra behållaren och sanera datornoder som hänför sig till projekt på HPC, sa Guo.
Statliga myndigheter som handlar med topphemlig data använder en Fort Knox-stil för att säkra system genom att avbryta vanlig nätverks- eller trådlös åtkomst. Den "air-gapped"-metoden hjälper till att säkerställa att skadlig programvara inte invaderar systemet, och att endast auktoriserade användare med tillstånd har tillgång till sådana system.
Universiteten är också värd för superdatorer, som är tillgängliga för studenter och akademiker som bedriver vetenskaplig forskning. Administratörer av dessa system har i många fall begränsad kontroll över säkerheten, som hanteras av systemleverantörer som vill ha skryträtt för att bygga världens snabbaste datorer.
När du lägger hanteringen av systemen i händerna på leverantörer kommer de att prioritera att garantera vissa prestandaförmåga, säger Rickey Gregg, programansvarig för cybersäkerhet vid det amerikanska försvarsdepartementets Högpresterande datormoderniseringsprogram, under panelen.
"En av de saker som jag utbildades i för många år sedan var att ju mer pengar vi spenderar på säkerhet, desto mindre pengar har vi för prestation. Vi försöker se till att vi har den här balansen, sa Gregg.
Under en frågestund efter panelen uttryckte vissa systemadministratörer frustration över leverantörskontrakt som prioriterar prestanda i systemet och nedprioriterar säkerheten. Systemadministratörerna sa att implementering av egentillverkade säkerhetstekniker skulle innebära ett avtalsbrott med leverantören. Det höll deras system exponerat.
Vissa paneldeltagare sa att kontrakten kunde finjusteras med ett språk där leverantörer lämnar över säkerheten till personalen på plats efter en viss tid.
Olika tillvägagångssätt för säkerhet
SC:s utställningsgolv var värd för statliga myndigheter, universitet och leverantörer som pratade om superdatorer. Samtalen om säkerhet skedde mestadels bakom stängda dörrar, men superdatorinstallationernas karaktär gav en överblick över de olika metoderna för att säkra system.
I montern vid University of Texas i Austins Texas Advanced Computing Center (TACC), som är värd för flera superdatorer i Top500-lista av världens snabbaste superdatorer låg fokus på prestanda och mjukvara. TACC-superdatorer skannas regelbundet, och centret har verktyg på plats för att förhindra invasioner och tvåfaktorsautentisering för att auktorisera legitima användare, sa representanter.
Försvarsdepartementet har mer av en "walled garden"-strategi, med användare, arbetsbelastningar och superdatorresurser uppdelade i ett DMZ-stye gränsområde med tunga skydd och övervakning av all kommunikation.
Massachusetts Institute of Technology (MIT) tar en noll-trust-strategi för systemsäkerhet genom att bli av med root-åtkomst. Istället använder den en kommandoradspost som heter sudo för att ge root-privilegier till HPC-ingenjörer. Sudo-kommandot ger ett spår av aktiviteter som HPC-ingenjörer utför på systemet, sa Albert Reuther, senior personal vid MIT Lincoln Laboratory Supercomputing Center, under paneldiskussionen.
"Vad vi egentligen är ute efter är att granska vem som är vid tangentbordet, vem som var den personen," sa Reuther.
Förbättra säkerheten på leverantörsnivå
Det allmänna tillvägagångssättet för högpresterande datorer har inte förändrats på decennier, med ett stort beroende av gigantiska installationer på plats med sammankopplade rack. Det står i skarp kontrast till den kommersiella datormarknaden, som flyttar från platsen och till molnet. Deltagarna på mässan uttryckte oro över datasäkerheten när den lämnar lokala system.
AWS försöker modernisera HPC genom att ta det till molnet, vilket kan skala upp prestanda på begäran samtidigt som en högre säkerhetsnivå bibehålls. I november introducerade företaget HPC7g, en uppsättning molninstanser för högpresterande datoranvändning på Elastic Compute Cloud (EC2). EC2 använder en speciell styrenhet som heter Nitro V5 som tillhandahåller ett konfidentiellt datalager för att skydda data när den lagras, bearbetas eller transporteras.
"Vi använder olika hårdvarutillägg till typiska plattformar för att hantera saker som säkerhet, åtkomstkontroller, nätverksinkapsling och kryptering," sa Lowell Wofford, AWS huvudspecialistlösningsarkitekt för högpresterande datorer, under panelen. Han tillade det hårdvaruteknik tillhandahåller både säkerhet och barmetallprestanda i virtuella maskiner.
Intel bygger konfidentiella datorfunktioner som Software Guard Extensions (SGX), en låst enklav för programexekvering, till sina snabbaste serverchips. Enligt Intels McVeigh, är en bristfällig strategi från operatörer som får chiptillverkaren att gå vidare med att säkra högpresterande system.
"Jag minns när säkerheten inte var viktig i Windows. Och sedan insåg de "Om vi avslöjar det här och varje gång någon gör något, kommer de att oroa sig för att deras kreditkortsinformation ska bli stulen", sa McVeigh. "Så det är mycket ansträngning där. Jag tror att samma saker måste gälla [i HPC]."
