ความปลอดภัยคือพลเมืองชั้นสองในด้านคอมพิวเตอร์ประสิทธิภาพสูง

SUPERCOMPUTING 2022 — คุณจะกันคนเลวออกจากคอมพิวเตอร์ที่เร็วที่สุดในโลกบางเครื่องที่เก็บข้อมูลที่ละเอียดอ่อนที่สุดได้อย่างไร

นั่นเป็นข้อกังวลที่เพิ่มขึ้นในการประชุม Supercomputing 2022 เมื่อเดือนที่แล้ว การได้รับประสิทธิภาพของระบบที่เร็วที่สุดเป็นประเด็นร้อนเหมือนทุกปี แต่การแสวงหาความเร็วนั้นแลกมาด้วยต้นทุนของการรักษาความปลอดภัยของระบบเหล่านี้ ซึ่งใช้งานปริมาณงานที่สำคัญในด้านวิทยาศาสตร์ การสร้างแบบจำลองสภาพอากาศ การพยากรณ์เศรษฐกิจ และความมั่นคงของประเทศ

การใช้ความปลอดภัยในรูปแบบของฮาร์ดแวร์หรือซอฟต์แวร์โดยทั่วไปเกี่ยวข้องกับการปรับประสิทธิภาพ ซึ่งทำให้ประสิทธิภาพโดยรวมของระบบช้าลงและเอาต์พุตของการคำนวณช้าลง การผลักดันให้มีแรงม้ามากขึ้นในซูเปอร์คอมพิวติ้งทำให้การรักษาความปลอดภัยกลายเป็นสิ่งที่ต้องคำนึงถึงในภายหลัง

“ส่วนใหญ่เป็นเรื่องของการประมวลผลประสิทธิภาพสูง และบางครั้งกลไกการรักษาความปลอดภัยเหล่านี้จะลดประสิทธิภาพของคุณเนื่องจากคุณกำลังทำการตรวจสอบและถ่วงดุล” Jeff McVeigh รองประธานและผู้จัดการทั่วไปของ Super Compute Group ของ Intel กล่าว

“นอกจากนี้ยังมีข้อความว่า 'ฉันต้องการให้แน่ใจว่าฉันได้รับประสิทธิภาพที่ดีที่สุดเท่าที่จะเป็นไปได้ และถ้าฉันสามารถใส่กลไกอื่น ๆ เพื่อควบคุมวิธีการดำเนินการนี้อย่างปลอดภัยได้ ฉันจะทำอย่างนั้น'” McVeigh กล่าว

ความปลอดภัยต้องการสิ่งจูงใจ

ประสิทธิภาพและความปลอดภัยของข้อมูลเป็นสิ่งที่ขัดแย้งกันอย่างต่อเนื่องระหว่างผู้จำหน่ายที่ขายระบบประสิทธิภาพสูงและผู้ดำเนินการติดตั้ง

Yang Guo นักวิทยาศาสตร์คอมพิวเตอร์แห่ง National Institutes for Standards and Technology (NIST) กล่าวว่า “ผู้ขายหลายรายลังเลที่จะทำการเปลี่ยนแปลงเหล่านี้หากการเปลี่ยนแปลงส่งผลเสียต่อประสิทธิภาพของระบบ” เซสชั่นแผง ที่งานซูเปอร์คอมพิวเตอร์ 2022

การขาดความกระตือรือร้นในการรักษาความปลอดภัยของระบบคอมพิวเตอร์ประสิทธิภาพสูงได้กระตุ้นให้รัฐบาลสหรัฐฯ เข้ามามีส่วนร่วม โดย NIST ได้จัดตั้งคณะทำงานขึ้นมาเพื่อแก้ไขปัญหาดังกล่าว Guo เป็นผู้นำคณะทำงาน NIST HPC ซึ่งมุ่งเน้นการพัฒนาแนวทางปฏิบัติ พิมพ์เขียว และการป้องกันความปลอดภัยของระบบและข้อมูล

คณะทำงาน HPC ก่อตั้งขึ้นในเดือนมกราคม 2016 ตามแนวทางของประธานาธิบดีบารัค โอบามาในขณะนั้น สั่งซื้อ 13702 บริหารซึ่งเปิดตัว National Strategic Computing Initiative กิจกรรมของกลุ่มดีขึ้นหลังจากช่วงเวลาหนึ่ง การโจมตีซูเปอร์คอมพิวเตอร์ในยุโรปซึ่งบางส่วนเกี่ยวข้องกับการวิจัย COVID-19

ความปลอดภัยของ HPC นั้นซับซ้อน

Guo กล่าวว่าการรักษาความปลอดภัยในการประมวลผลประสิทธิภาพสูงนั้นไม่ง่ายเหมือนการติดตั้งโปรแกรมป้องกันไวรัสและสแกนอีเมล

คอมพิวเตอร์ประสิทธิภาพสูงเป็นทรัพยากรที่ใช้ร่วมกัน โดยนักวิจัยจะจองเวลาและเชื่อมต่อกับระบบเพื่อทำการคำนวณและจำลอง ข้อกำหนดด้านความปลอดภัยจะแตกต่างกันไปตามสถาปัตยกรรม HPC ซึ่งบางส่วนอาจให้ความสำคัญกับการควบคุมการเข้าถึง หรือฮาร์ดแวร์ เช่น ที่เก็บข้อมูล CPU ที่เร็วขึ้น หรือหน่วยความจำที่มากขึ้นสำหรับการคำนวณ Guo กล่าวว่าจุดสนใจสูงสุดอยู่ที่การรักษาความปลอดภัยคอนเทนเนอร์และการฆ่าเชื้อโหนดคอมพิวเตอร์ที่เกี่ยวข้องกับโครงการใน HPC

หน่วยงานรัฐบาลที่เกี่ยวข้องกับข้อมูลลับสุดยอดใช้วิธีสไตล์ Fort Knox ในการรักษาความปลอดภัยระบบโดยการตัดเครือข่ายปกติหรือการเข้าถึงแบบไร้สาย แนวทาง “ไร้ช่องว่างระหว่างอากาศ” ช่วยให้มั่นใจได้ว่ามัลแวร์จะไม่บุกรุกระบบ และเฉพาะผู้ใช้ที่ได้รับอนุญาตที่มีการกวาดล้างเท่านั้นที่สามารถเข้าถึงระบบดังกล่าวได้

มหาวิทยาลัยต่างๆ ยังโฮสต์ซูเปอร์คอมพิวเตอร์ ซึ่งนักศึกษาและนักวิชาการที่ทำการวิจัยทางวิทยาศาสตร์สามารถเข้าถึงได้ ผู้ดูแลระบบเหล่านี้ในหลายกรณีมีข้อจำกัดในการควบคุมความปลอดภัย ซึ่งจัดการโดยผู้ขายระบบที่ต้องการสิทธิ์ในการโอ้อวดในการสร้างคอมพิวเตอร์ที่เร็วที่สุดในโลก

เมื่อคุณให้การจัดการระบบอยู่ในมือของผู้ขาย พวกเขาจะจัดลำดับความสำคัญในการรับประกันความสามารถด้านประสิทธิภาพบางอย่าง Rickey Gregg ผู้จัดการโครงการความปลอดภัยทางไซเบอร์ของกระทรวงกลาโหมสหรัฐฯ กล่าว โครงการพัฒนาคอมพิวเตอร์สมรรถนะสูงให้ทันสมัย, ระหว่างแผง.

“สิ่งหนึ่งที่ฉันได้รับการศึกษาเมื่อหลายปีก่อนคือยิ่งเราใช้เงินในการรักษาความปลอดภัยมากเท่าไหร่ เราก็มีเงินสำหรับการแสดงน้อยลงเท่านั้น เรากำลังพยายามทำให้แน่ใจว่าเรามีความสมดุลนี้” Gregg กล่าว

ในระหว่างเซสชันคำถามและคำตอบหลังการอภิปราย ผู้ดูแลระบบบางคนแสดงความไม่พอใจต่อสัญญาของผู้ขายที่ให้ความสำคัญกับประสิทธิภาพในระบบและให้ความสำคัญด้านความปลอดภัย ผู้ดูแลระบบกล่าวว่าการนำเทคโนโลยีความปลอดภัยที่ผลิตขึ้นเองมาใช้จะเท่ากับการละเมิดสัญญากับผู้ขาย นั่นทำให้ระบบของพวกเขาถูกเปิดเผย

ผู้ร่วมอภิปรายบางคนกล่าวว่าสัญญาสามารถปรับเปลี่ยนได้ด้วยภาษาที่ผู้ขายส่งมอบความปลอดภัยให้กับเจ้าหน้าที่ในสถานที่หลังจากช่วงระยะเวลาหนึ่ง

แนวทางการรักษาความปลอดภัยที่แตกต่างกัน

พื้นที่จัดแสดงของ SC จัดขึ้นที่หน่วยงานรัฐบาล มหาวิทยาลัย และผู้ขายที่พูดคุยเกี่ยวกับซูเปอร์คอมพิวติ้ง การสนทนาเกี่ยวกับการรักษาความปลอดภัยส่วนใหญ่มักอยู่หลังประตูปิด แต่ธรรมชาติของการติดตั้งซูเปอร์คอมพิวเตอร์ทำให้มองเห็นแนวทางต่างๆ ในระบบรักษาความปลอดภัย

ที่บูธของมหาวิทยาลัยเทกซัสที่ Texas Advanced Computing Center (TACC) ของออสติน ซึ่งมีซูเปอร์คอมพิวเตอร์หลายเครื่องใน รายชื่อ 500 อันดับแรก ในบรรดาซูเปอร์คอมพิวเตอร์ที่เร็วที่สุดในโลก โฟกัสอยู่ที่ประสิทธิภาพและซอฟต์แวร์ ซูเปอร์คอมพิวเตอร์ของ TACC ได้รับการสแกนเป็นประจำ และศูนย์มีเครื่องมือป้องกันการบุกรุกและการยืนยันตัวตนแบบสองปัจจัยเพื่ออนุญาตผู้ใช้ที่ถูกกฎหมาย ตัวแทนกล่าว

กระทรวงกลาโหมมีแนวทางแบบ “walled garden” มากกว่า โดยมีผู้ใช้ ปริมาณงาน และทรัพยากรซูเปอร์คอมพิวติ้งที่แบ่งส่วนออกเป็นพื้นที่ชายแดนสไตล์ DMZ พร้อมการป้องกันอย่างแน่นหนาและการตรวจสอบการสื่อสารทั้งหมด

Massachusetts Institute of Technology (MIT) กำลังใช้วิธีการแบบ Zero-Trust ในการรักษาความปลอดภัยของระบบ โดยการกำจัดการเข้าถึงรูท แทนที่จะใช้รายการบรรทัดคำสั่งที่เรียกว่า sudo เพื่อให้สิทธิ์รูทแก่วิศวกร HPC คำสั่ง sudo แสดงให้เห็นเส้นทางของกิจกรรมที่วิศวกร HPC ทำกับระบบ กล่าวโดย Albert Reuther เจ้าหน้าที่อาวุโสของ MIT Lincoln Laboratory Supercomputing Center ในระหว่างการอภิปราย

“สิ่งที่เราต้องการจริงๆ คือการตรวจสอบว่าใครอยู่ที่แป้นพิมพ์ ใครคือบุคคลนั้น” รอยเตอร์กล่าว

การปรับปรุงความปลอดภัยในระดับผู้จำหน่าย

แนวทางทั่วไปสำหรับการประมวลผลประสิทธิภาพสูงนั้นไม่เคยเปลี่ยนแปลงมานานหลายทศวรรษ โดยพึ่งพาการติดตั้งบนไซต์ขนาดยักษ์ที่มีแร็คที่เชื่อมต่อถึงกันอย่างมาก ซึ่งตรงกันข้ามกับตลาดคอมพิวเตอร์เชิงพาณิชย์ซึ่งกำลังเคลื่อนตัวออกไปนอกสถานที่และ สู่เมฆ. ผู้เข้าร่วมแสดงความกังวลเกี่ยวกับความปลอดภัยของข้อมูลเมื่อออกจากระบบภายในองค์กร

AWS กำลังพยายามปรับปรุง HPC ให้ทันสมัยโดยนำไปไว้บนคลาวด์ ซึ่งสามารถปรับขนาดประสิทธิภาพตามต้องการในขณะที่รักษาระดับความปลอดภัยที่สูงขึ้น ในเดือนพฤศจิกายน บริษัทได้เปิดตัว HPC7g ซึ่งเป็นชุดของอินสแตนซ์ระบบคลาวด์สำหรับการประมวลผลประสิทธิภาพสูงบน Elastic Compute Cloud (EC2) EC2 ใช้ตัวควบคุมพิเศษที่เรียกว่า Nitro V5 ซึ่งมีชั้นการประมวลผลที่เป็นความลับเพื่อปกป้องข้อมูลในขณะที่จัดเก็บ ประมวลผล หรืออยู่ระหว่างการขนส่ง

“เราใช้การเพิ่มฮาร์ดแวร์ต่างๆ เข้ากับแพลตฟอร์มทั่วไปเพื่อจัดการสิ่งต่างๆ เช่น การรักษาความปลอดภัย การควบคุมการเข้าถึง การห่อหุ้มเครือข่าย และการเข้ารหัส” Lowell Wofford สถาปนิกผู้เชี่ยวชาญด้านโซลูชันหลักของ AWS สำหรับการประมวลผลประสิทธิภาพสูงกล่าวระหว่างการอภิปราย เขาเสริมว่า เทคนิคฮาร์ดแวร์ ให้ทั้งความปลอดภัยและประสิทธิภาพการทำงานแบบ Bare-Metal ในเครื่องเสมือน

อินเทลกำลังสร้าง คุณสมบัติการคำนวณที่เป็นความลับ เช่น Software Guard Extensions (SGX) ซึ่งเป็นวงล้อมที่ล็อกไว้สำหรับการทำงานของโปรแกรม ลงในชิปเซิร์ฟเวอร์ที่เร็วที่สุด ตาม McVeigh ของ Intel วิธีการที่ขาดความกระตือรือร้นของผู้ปฏิบัติงานกำลังกระตุ้นให้ผู้ผลิตชิปก้าวไปข้างหน้าในการรักษาความปลอดภัยระบบที่มีประสิทธิภาพสูง

“ฉันจำได้ว่าเมื่อความปลอดภัยไม่สำคัญใน Windows จากนั้นพวกเขาก็ตระหนักว่า 'หากเราเปิดเผยข้อมูลนี้และทุกครั้งที่มีใครทำอะไร พวกเขาจะต้องกังวลว่าข้อมูลบัตรเครดิตของพวกเขาจะถูกขโมย'” McVeigh กล่าว “ดังนั้นจึงมีความพยายามอย่างมากที่นั่น ฉันคิดว่าต้องใช้สิ่งเดียวกัน [ใน HPC]”