超级计算 2022 — 如何让坏人远离一些存储一些最敏感数据的世界上最快的计算机?
在上个月的 Supercomputing 2022 会议上,这是一个越来越令人担忧的问题。 实现最快的系统性能是一个热门话题,每年都是如此。 但对速度的追求是以保护其中一些系统的安全为代价的,这些系统运行着科学、天气建模、经济预测和国家安全方面的关键工作负载。
以硬件或软件的形式实施安全性通常会带来性能损失,这会降低整体系统性能和计算输出。 在超级计算中推动更大的能力已经使安全成为事后的想法。
“在很大程度上,它与高性能计算有关。 有时这些安全机制中的一些会降低你的性能,因为你正在做一些检查和平衡,”英特尔超级计算集团副总裁兼总经理 Jeff McVeigh 说。
“还有一个'我想确保我获得最佳性能,如果我可以采用其他机制来控制它如何安全地执行,我会这样做,'”McVeigh 说。
安全需要激励
性能和数据安全是销售高性能系统的供应商和运行安装的操作员之间持续不断的争论。
美国国家标准与技术研究院 (NIST) 的计算机科学家 Yang Guo 在一次会议上说:“如果更改对系统性能产生负面影响,许多供应商都不愿意进行这些更改。” 小组会议 在超级计算 2022。
对保护高性能计算系统缺乏热情促使美国政府介入,NIST 成立了一个工作组来解决这个问题。 Guo 领导着 NIST HPC 工作组,该工作组专注于为系统和数据安全制定指南、蓝图和保障措施。
HPC 工作组创建于 2016 年 XNUMX 月,基于时任总统巴拉克·奥巴马 (Barack Obama) 的 行政命令13702,启动了国家战略计算计划。 经过一连串的活动后,该小组的活动开始活跃起来 对欧洲超级计算机的攻击,其中一些参与了 COVID-19 研究。
HPC 安全性很复杂
郭说,高性能计算的安全性并不像安装防病毒软件和扫描电子邮件那么简单。
高性能计算机是共享资源,研究人员可以预定时间并连接到系统中进行计算和模拟。 安全要求将根据 HPC 架构而有所不同,其中一些架构可能会优先考虑访问控制或存储等硬件、更快的 CPU 或更多用于计算的内存。 郭说,首要重点是保护容器和清理与 HPC 项目相关的计算节点。
处理绝密数据的政府机构采用诺克斯堡式的方法通过切断常规网络或无线访问来保护系统。 “气隙”方法有助于确保恶意软件不会入侵系统,并且只有获得许可的授权用户才能访问此类系统。
大学还拥有超级计算机,可供从事科学研究的学生和学者使用。 在许多情况下,这些系统的管理员对安全性的控制是有限的,而安全性是由系统供应商管理的,他们希望吹嘘构建世界上最快的计算机的权利。
美国国防部网络安全项目经理 Rickey Gregg 说,当你将系统的管理权交给供应商时,他们会优先保证某些性能。 高性能计算现代化计划,在面板。
“我多年前接受的教育之一是,我们花在安全上的钱越多,我们花在性能上的钱就越少。 我们正在努力确保我们拥有这种平衡,”格雷格说。
在小组讨论后的问答环节中,一些系统管理员对供应商合同将系统性能放在首位而将安全放在首位表示失望。 系统管理员表示,实施自主开发的安全技术将等同于违反与供应商的合同。 这使他们的系统暴露在外。
一些小组成员说,可以用供应商在一段时间后将安全移交给现场工作人员的语言来调整合同。
不同的安全方法
SC 展厅接待了政府机构、大学和供应商谈论超级计算。 关于安全性的讨论大多是秘密进行的,但超级计算装置的性质提供了对保护系统的各种方法的鸟瞰图。
在德克萨斯大学奥斯汀分校的德克萨斯高级计算中心 (TACC) 的展台上,该中心托管着多台超级计算机 前500名名单 在世界上最快的超级计算机中,重点是性能和软件。 代表们说,TACC 超级计算机会定期进行扫描,并且该中心拥有防止入侵的工具和双因素身份验证来授权合法用户。
国防部有更多的“围墙花园”方法,将用户、工作负载和超级计算资源分割到一个 DMZ-stye 边界区域,对所有通信进行严格保护和监控。
麻省理工学院 (MIT) 正在通过取消根访问权限来实现系统安全的零信任方法。 相反,它使用名为 须藤 为 HPC 工程师提供 root 权限。 sudo 命令提供了 HPC 工程师在系统上进行的一系列活动,麻省理工学院林肯实验室超级计算中心的高级职员 Albert Reuther 在小组讨论中说。
“我们真正想要的是审计谁在键盘上,那个人是谁,”Reuther 说。
提高供应商级别的安全性
高性能计算的一般方法几十年来都没有改变,严重依赖具有互连机架的大型现场安装。 这与商业计算市场形成鲜明对比,商业计算市场正在异地和 到云. 展会的参与者表达了对数据离开本地系统后的安全性的担忧。
AWS 正试图通过将 HPC 引入云端来实现 HPC 的现代化,这可以按需扩展性能,同时保持更高级别的安全性。 7 月,该公司推出了 HPC2g,这是一组用于在 Elastic Compute Cloud (EC2) 上进行高性能计算的云实例。 EC5 采用了一个名为 Nitro VXNUMX 的特殊控制器,它提供了一个机密计算层来保护存储、处理或传输中的数据。
“我们在典型平台上添加了各种硬件来管理安全、访问控制、网络封装和加密等内容,”AWS 高性能计算首席专家解决方案架构师 Lowell Wofford 在座谈会上说。 他补充说 硬件技术 在虚拟机中提供安全性和裸机性能。
英特尔正在建设 机密计算功能 例如 Software Guard Extensions (SGX),一个用于程序执行的锁定飞地,进入其最快的服务器芯片。 据英特尔的 McVeigh 称,运营商懒散的做法促使该芯片制造商在确保高性能系统方面领先一步。
“我记得当时安全性在 Windows 中并不重要。 然后他们意识到,'如果我们公开这一点,并且每次任何人做任何事情,他们都会担心他们的信用卡信息被盗,'”麦克维说。 “所以那里有很多努力。 我认为同样的事情需要适用于 [在 HPC 中]。”
