SIÊU MÁY TÍNH 2022 — Làm cách nào để ngăn kẻ xấu xâm nhập vào một số máy tính nhanh nhất thế giới lưu trữ một số dữ liệu nhạy cảm nhất?
Đó là một mối quan tâm ngày càng tăng tại hội nghị Siêu máy tính 2022 vào tháng trước. Đạt được hiệu suất hệ thống nhanh nhất là một chủ đề nóng, giống như mọi năm. Tuy nhiên, việc theo đuổi tốc độ đã phải trả giá bằng việc bảo mật một số hệ thống này, vốn vận hành khối lượng công việc quan trọng trong khoa học, lập mô hình thời tiết, dự báo kinh tế và an ninh quốc gia.
Việc triển khai bảo mật dưới dạng phần cứng hoặc phần mềm thường liên quan đến hình phạt về hiệu suất, làm chậm hiệu suất tổng thể của hệ thống và kết quả tính toán. Việc thúc đẩy nhiều mã lực hơn trong siêu máy tính đã khiến bảo mật trở thành một vấn đề được cân nhắc kỹ lưỡng.
“Phần lớn là về điện toán hiệu năng cao. Và đôi khi một số cơ chế bảo mật này sẽ làm giảm hiệu suất của bạn vì bạn đang thực hiện một số kiểm tra và cân bằng,” Jeff McVeigh, phó chủ tịch kiêm tổng giám đốc của Super Compute Group tại Intel cho biết.
McVeigh nói: “Ngoài ra còn có câu hỏi 'Tôi muốn đảm bảo rằng tôi đang đạt được hiệu suất tốt nhất có thể và nếu tôi có thể đưa vào các cơ chế khác để kiểm soát cách thức thực hiện điều này một cách an toàn, thì tôi sẽ làm điều đó.
Khuyến khích nhu cầu bảo mật
Hiệu suất và bảo mật dữ liệu là một cuộc đấu tranh liên tục giữa các nhà cung cấp bán các hệ thống hiệu suất cao và các nhà khai thác đang chạy cài đặt.
Yang Guo, một nhà khoa học máy tính tại Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), cho biết: “Nhiều nhà cung cấp miễn cưỡng thực hiện những thay đổi này nếu thay đổi đó ảnh hưởng tiêu cực đến hiệu suất hệ thống. phiên hội thảo tại Siêu máy tính 2022.
Việc thiếu nhiệt tình trong việc đảm bảo an toàn cho các hệ thống máy tính hiệu suất cao đã khiến chính phủ Hoa Kỳ phải can thiệp, với việc NIST thành lập một nhóm làm việc để giải quyết vấn đề. Guo đang lãnh đạo Nhóm công tác NIST HPC, nhóm tập trung vào việc phát triển các hướng dẫn, bản thiết kế và biện pháp bảo vệ hệ thống và bảo mật dữ liệu.
Nhóm công tác HPC được thành lập vào tháng 2016 năm XNUMX dựa trên khuyến nghị của Tổng thống lúc bấy giờ là Barack Obama. Đơn hàng 13702, đã đưa ra Sáng kiến Máy tính Chiến lược Quốc gia. Hoạt động của nhóm được chọn sau một loạt tấn công siêu máy tính ở châu Âu, một số trong đó đã tham gia vào nghiên cứu COVID-19.
Bảo mật HPC rất phức tạp
Guo cho biết, bảo mật trong máy tính hiệu năng cao không đơn giản như cài đặt phần mềm chống vi-rút và quét email.
Máy tính hiệu suất cao là tài nguyên được chia sẻ, với các nhà nghiên cứu đặt trước thời gian và kết nối vào hệ thống để tiến hành tính toán và mô phỏng. Các yêu cầu bảo mật sẽ thay đổi dựa trên kiến trúc HPC, một số trong đó có thể ưu tiên kiểm soát truy cập hoặc phần cứng như bộ lưu trữ, CPU nhanh hơn hoặc nhiều bộ nhớ hơn để tính toán. Guo cho biết, trọng tâm hàng đầu là bảo vệ vùng chứa và vệ sinh các nút điện toán liên quan đến các dự án trên HPC.
Các cơ quan chính phủ xử lý dữ liệu tuyệt mật thực hiện cách tiếp cận kiểu Fort Knox để bảo mật hệ thống bằng cách cắt quyền truy cập mạng hoặc không dây thông thường. Phương pháp tiếp cận “air-gapped” giúp đảm bảo rằng phần mềm độc hại không xâm nhập hệ thống và chỉ những người dùng được ủy quyền mới có quyền truy cập vào các hệ thống đó.
Các trường đại học cũng sở hữu các siêu máy tính mà sinh viên và các học giả tiến hành nghiên cứu khoa học có thể truy cập được. Quản trị viên của các hệ thống này trong nhiều trường hợp có quyền kiểm soát hạn chế đối với bảo mật, được quản lý bởi các nhà cung cấp hệ thống, những người muốn khoe khoang về việc xây dựng các máy tính nhanh nhất thế giới.
Rickey Gregg, giám đốc chương trình an ninh mạng tại Bộ Quốc phòng Hoa Kỳ cho biết, khi bạn giao quyền quản lý hệ thống cho các nhà cung cấp, họ sẽ ưu tiên đảm bảo các khả năng hoạt động nhất định. Chương trình hiện đại hóa máy tính hiệu suất cao, trong bảng điều khiển.
“Một trong những điều mà tôi đã học được từ nhiều năm trước là chúng ta càng chi nhiều tiền cho an ninh, chúng ta càng có ít tiền cho hiệu suất. Chúng tôi đang cố gắng đảm bảo rằng chúng tôi có sự cân bằng này,” Gregg nói.
Trong phiên hỏi đáp sau hội thảo, một số quản trị viên hệ thống đã bày tỏ sự thất vọng đối với các hợp đồng của nhà cung cấp ưu tiên hiệu suất trong hệ thống và hạ thấp mức độ ưu tiên của bảo mật. Các quản trị viên hệ thống nói rằng việc triển khai các công nghệ bảo mật cây nhà lá vườn sẽ vi phạm hợp đồng với nhà cung cấp. Điều đó giữ cho hệ thống của họ tiếp xúc.
Một số thành viên tham gia hội thảo nói rằng các hợp đồng có thể được điều chỉnh bằng ngôn ngữ trong đó các nhà cung cấp bàn giao bảo mật cho nhân viên tại chỗ sau một khoảng thời gian nhất định.
Các cách tiếp cận khác nhau để bảo mật
Sàn trình diễn SC tổ chức các cơ quan chính phủ, trường đại học và nhà cung cấp nói về siêu máy tính. Các cuộc trò chuyện về bảo mật chủ yếu diễn ra sau những cánh cửa đóng kín, nhưng bản chất của việc cài đặt siêu máy tính đã cung cấp một cái nhìn toàn cảnh về các cách tiếp cận khác nhau để bảo mật hệ thống.
Tại gian hàng của Đại học Texas tại Trung tâm Điện toán Tiên tiến Texas (TACC) của Austin, nơi lưu trữ nhiều siêu máy tính trong Top500 danh sách của các siêu máy tính nhanh nhất thế giới, trọng tâm là hiệu suất và phần mềm. Các siêu máy tính TACC được quét thường xuyên và trung tâm có sẵn các công cụ để ngăn chặn các cuộc xâm lược và xác thực hai yếu tố để ủy quyền cho người dùng hợp pháp, đại diện cho biết.
Bộ Quốc phòng có nhiều cách tiếp cận “khu vườn có tường bao quanh”, với người dùng, khối lượng công việc và tài nguyên siêu máy tính được phân chia thành khu vực biên giới DMZ-stye với sự bảo vệ nghiêm ngặt và giám sát tất cả các thông tin liên lạc.
Viện Công nghệ Massachusetts (MIT) đang áp dụng cách tiếp cận không tin cậy đối với bảo mật hệ thống bằng cách loại bỏ quyền truy cập root. Thay vào đó, nó sử dụng một mục nhập dòng lệnh có tên sudo để cung cấp đặc quyền root cho các kỹ sư HPC. Albert Reuther, nhân viên cấp cao tại Trung tâm siêu máy tính của Phòng thí nghiệm MIT Lincoln, cho biết lệnh sudo cung cấp một dấu vết các hoạt động mà các kỹ sư HPC thực hiện trên hệ thống.
Reuther nói: “Những gì chúng tôi thực sự theo đuổi là kiểm tra xem ai đang ngồi trên bàn phím, người đó là ai.
Cải thiện bảo mật ở cấp độ nhà cung cấp
Cách tiếp cận chung đối với điện toán hiệu năng cao đã không thay đổi trong nhiều thập kỷ, với sự phụ thuộc nhiều vào các cài đặt khổng lồ tại chỗ với các giá đỡ được kết nối với nhau. Điều đó hoàn toàn trái ngược với thị trường máy tính thương mại đang di chuyển ra bên ngoài và lên đám mây. Những người tham gia triển lãm bày tỏ lo ngại về bảo mật dữ liệu sau khi dữ liệu rời khỏi hệ thống tại chỗ.
AWS đang cố gắng hiện đại hóa HPC bằng cách đưa HPC lên đám mây, có thể tăng quy mô hiệu suất theo yêu cầu trong khi vẫn duy trì mức độ bảo mật cao hơn. Vào tháng 7, công ty đã giới thiệu HPC2g, một tập hợp các phiên bản đám mây dành cho điện toán hiệu năng cao trên Đám mây điện toán đàn hồi (EC2). EC5 sử dụng bộ điều khiển đặc biệt có tên là Nitro VXNUMX cung cấp lớp điện toán bảo mật để bảo vệ dữ liệu khi dữ liệu được lưu trữ, xử lý hoặc truyền.
“Chúng tôi sử dụng nhiều phần bổ sung phần cứng khác nhau cho các nền tảng điển hình để quản lý những thứ như bảo mật, kiểm soát truy cập, đóng gói mạng và mã hóa,” Lowell Wofford, kiến trúc sư giải pháp chuyên môn chính của AWS cho điện toán hiệu suất cao, cho biết trong hội thảo. Anh ấy nói thêm rằng kỹ thuật phần cứng cung cấp cả hiệu suất bảo mật và kim loại trần trong các máy ảo.
Intel đang xây dựng tính năng tính toán bí mật như Phần mở rộng bảo vệ phần mềm (SGX), một vùng bị khóa để thực thi chương trình, vào các chip máy chủ nhanh nhất của nó. Theo McVeigh của Intel, một cách tiếp cận thiếu quyết đoán của các nhà khai thác đang khiến nhà sản xuất chip phải đi trước trong việc đảm bảo các hệ thống hiệu năng cao.
“Tôi nhớ khi bảo mật không quan trọng trong Windows. Và sau đó họ nhận ra rằng 'Nếu chúng tôi phơi bày điều này và mỗi khi bất kỳ ai làm bất cứ điều gì, họ sẽ lo lắng về việc thông tin thẻ tín dụng của họ bị đánh cắp',” McVeigh nói. “Vì vậy, có rất nhiều nỗ lực ở đó. Tôi nghĩ những điều tương tự cũng cần được áp dụng [trong HPC].”
