Güvenlik, Yüksek Performanslı Bilgi İşlemde İkinci Sınıf Vatandaştır



SUPERCOMPUTING 2022 — Kötü adamları, en hassas verilerden bazılarını depolayan dünyanın en hızlı bilgisayarlarından bazılarından nasıl uzak tutacaksınız?

Bu, geçen ayki Supercomputing 2022 konferansında büyüyen bir endişeydi. En hızlı sistem performansına ulaşmak her yıl olduğu gibi gündemde olan bir konuydu. Ancak hız arayışı, bilim, hava durumu modelleme, ekonomik tahmin ve ulusal güvenlik alanlarında kritik iş yükleri çalıştıran bu sistemlerden bazılarını güvence altına alma pahasına geldi.

Güvenliği donanım veya yazılım biçiminde uygulamak, genellikle genel sistem performansını ve hesaplamaların çıktısını yavaşlatan bir performans cezası içerir. Süper bilgi işlemde daha fazla beygir gücü için yapılan baskı, güvenliği sonradan akla gelen bir düşünce haline getirdi.

Intel Super Compute Group’un başkan yardımcısı ve genel müdürü Jeff McVeigh, “Çoğunlukla, yüksek performanslı bilgi işlemle ilgilidir. Ve bazen bu güvenlik mekanizmalarından bazıları, bazı kontroller ve dengeler yaptığınız için performansınızı düşürür,” diyor.

McVeigh, “‘Mümkün olan en iyi performansı aldığımdan emin olmak istiyorum ve bunun güvenli bir şekilde nasıl yürütüldüğünü kontrol etmek için başka mekanizmalar koyabilirsem, bunu yapacağım’ diye bir şey de var” diyor.

Güvenliğin Teşvik Edilmesi Gerekiyor

Performans ve veri güvenliği, yüksek performanslı sistemleri satan satıcılar ile kurulumu yürüten operatörler arasında sürekli bir çekişmedir.

Supercomputing 2022’deki bir panel oturumunda Ulusal Standartlar ve Teknoloji Enstitüleri’nde (NIST) bilgisayar bilimcisi olan Yang Guo, “Birçok satıcı, değişiklik sistem performansını olumsuz etkilerse bu değişiklikleri yapmak konusunda isteksizdir” dedi.

Yüksek performanslı bilgi işlem sistemlerini güvence altına alma konusundaki isteksizlik, ABD hükümetinin NIST’in sorunu çözmek için bir çalışma grubu oluşturmasıyla devreye girmesine neden oldu. Guo, sistem ve veri güvenliği için yönergeler, planlar ve koruma önlemleri geliştirmeye odaklanan NIST HPC Çalışma Grubuna liderlik ediyor.

HPC Çalışma Grubu, Ocak 2016’da, o zamanki Başkan Barack Obama’nın Ulusal Stratejik Bilişim Girişimi’ni başlatan 13702 sayılı İcra Emrine dayalı olarak oluşturuldu. Grubun faaliyetleri, Avrupa’da bazıları COVID-19 araştırmasında yer alan süper bilgisayarlara yönelik bir dizi saldırının ardından toparlandı.

HPC Güvenliği Karmaşıktır

Guo, yüksek performanslı bilgi işlemde güvenliğin, antivirüs yüklemek ve e-postaları taramak kadar basit olmadığını söyledi.

Yüksek performanslı bilgisayarlar, araştırmacıların hesaplamalar ve simülasyonlar yapmak için zaman ayırması ve sistemlere bağlanmasıyla paylaşılan kaynaklardır. Güvenlik gereksinimleri, bazıları erişim kontrolüne veya depolama gibi donanımlara, daha hızlı CPU’lara veya hesaplamalar için daha fazla belleğe öncelik verebilen HPC mimarilerine göre değişir. Guo, en önemli odak noktasının konteynerin güvenliğini sağlamak ve HPC’deki projelerle ilgili bilgi işlem düğümlerini sterilize etmek olduğunu söyledi.

Çok gizli verilerle uğraşan devlet kurumları, düzenli ağ veya kablosuz erişimi keserek sistemlerin güvenliğini sağlamak için Fort Knox tarzı bir yaklaşım benimsiyor. “Hava boşluklu” yaklaşım, kötü amaçlı yazılımın sistemi işgal etmemesini ve yalnızca izni olan yetkili kullanıcıların bu tür sistemlere erişmesini sağlamaya yardımcı olur.

Üniversiteler ayrıca, bilimsel araştırma yapan öğrencilerin ve akademisyenlerin erişebileceği süper bilgisayarlara da ev sahipliği yapmaktadır. Çoğu durumda bu sistemlerin yöneticileri, dünyanın en hızlı bilgisayarlarını yapmakla övünmek isteyen sistem satıcıları tarafından yönetilen güvenlik üzerinde sınırlı denetime sahiptir.

Panel sırasında ABD Savunma Bakanlığı Yüksek Performanslı Bilgi İşlem Modernizasyon Programı siber güvenlik program yöneticisi Rickey Gregg, sistemlerin yönetimini satıcıların eline verdiğinizde, belirli performans yeteneklerini garanti etmeye öncelik vereceklerini söyledi.

Gregg, “Yıllar önce öğrendiğim şeylerden biri, güvenliğe ne kadar çok para harcarsak, performans için o kadar az paramız olduğuydu. Bu dengeye sahip olduğumuzdan emin olmaya çalışıyoruz,” dedi.

Panelin ardından gerçekleştirilen soru-cevap oturumunda bazı sistem yöneticileri, sistemdeki performansı ön planda tutan ve güvenliği ön planda tutan satıcı sözleşmelerinden rahatsız olduklarını dile getirdiler. Sistem yöneticileri, yerel güvenlik teknolojilerinin uygulanmasının, satıcıyla yapılan sözleşmenin ihlali anlamına geleceğini söylediler. Bu, sistemlerini açığa çıkardı.

Bazı panelistler, sözleşmelerin satıcıların belirli bir süre sonra güvenliği saha personeline devrettiği bir dille değiştirilebileceğini söyledi.

Güvenliğe Farklı Yaklaşımlar

SC gösteri katında süper bilgi işlem hakkında konuşan devlet kurumları, üniversiteler ve satıcılar yer aldı. Güvenlikle ilgili konuşmalar çoğunlukla kapalı kapılar ardındaydı, ancak süper bilgi işlem kurulumlarının doğası, güvenlik sistemlerine yönelik çeşitli yaklaşımlara kuşbakışı bir bakış sağlıyordu.

Dünyanın en hızlı süper bilgisayarlarının Top 500 listesinde birden fazla süper bilgisayara ev sahipliği yapan Austin’deki Texas Advanced Computing Center’daki (TACC) Texas Üniversitesi’nin standında, performans ve yazılıma odaklanıldı. Temsilciler, TACC süper bilgisayarlarının düzenli olarak tarandığını ve merkezin işgalleri önlemek için araçlara ve yasal kullanıcılara yetki vermek için iki faktörlü kimlik doğrulamaya sahip olduğunu söyledi.

Savunma Bakanlığı, ağır korumalar ve tüm iletişimlerin izlenmesi ile DMZ tarzı bir sınır alanına bölünmüş kullanıcılar, iş yükleri ve süper bilgi işlem kaynakları ile daha çok “duvarlarla çevrili bir bahçe” yaklaşımına sahiptir.

Massachusetts Institute of Technology (MIT), kök erişimden kurtularak sistem güvenliğine sıfır güven yaklaşımı benimsiyor. Bunun yerine, HPC mühendislerine kök ayrıcalığı sağlamak için sudo adlı bir komut satırı girişi kullanır. Panel tartışması sırasında MIT Lincoln Laboratuvarı Süper Hesaplama Merkezi’nde kıdemli personel olan Albert Reuther, sudo komutunun HPC mühendislerinin sistemde üstlendiği faaliyetlerin bir izini sağladığını söyledi.

Reuther, “Gerçekten peşinde olduğumuz şey, klavyede kimin olduğunu, o kişinin kim olduğunu denetlemek” dedi.

Satıcı Düzeyinde Güvenliği Artırma

Yüksek performanslı bilgi işleme yönelik genel yaklaşım, birbirine bağlı raflara sahip dev yerinde kurulumlara büyük ölçüde güvenilmesiyle on yıllardır değişmedi. Bu, tesis dışına ve buluta taşınan ticari bilgi işlem pazarıyla keskin bir tezat oluşturuyor. Gösteriye katılanlar, şirket içi sistemlerden çıktıktan sonra veri güvenliğiyle ilgili endişelerini dile getirdiler.

AWS, HPC’yi buluta taşıyarak modernleştirmeye çalışıyor; bu da, daha yüksek bir güvenlik düzeyi sağlarken isteğe bağlı olarak performansı artırabiliyor. Kasım ayında şirket, Elastic Compute Cloud (EC2) üzerinde yüksek performanslı bilgi işlem için bir dizi bulut örneği olan HPC7g’yi tanıttı. EC2, verileri depolanırken, işlenirken veya aktarılırken korumak için gizli bir bilgi işlem katmanı sağlayan Nitro V5 adlı özel bir denetleyici kullanır.

Panel sırasında AWS’nin yüksek performanslı bilgi işlem baş uzman çözüm mimarı Lowell Wofford, “Güvenlik, erişim kontrolleri, ağ kapsülleme ve şifreleme gibi şeyleri yönetmek için tipik platformlara çeşitli donanım eklemeleri kullanıyoruz” dedi. Donanım tekniklerinin sanal makinelerde hem güvenliği hem de çıplak metal performansını sağladığını sözlerine ekledi.

Intel, program yürütme için kilitli bir yerleşim bölgesi olan Software Guard Extensions (SGX) gibi gizli bilgi işlem özelliklerini en hızlı sunucu yongalarına inşa ediyor. Intel’den McVeigh’e göre operatörlerin ilgisiz yaklaşımı, çip üreticisini yüksek performanslı sistemlerin güvenliğini sağlama konusunda atlamaya sevk ediyor.

McVeigh, “Windows’ta güvenliğin önemli olmadığı zamanları hatırlıyorum. Sonra ‘Bunu ifşa edersek ve herhangi biri bir şey yaptığında, kredi kartı bilgilerinin çalınmasından endişe edeceklerini’ anladılar” dedi. “Yani orada çok çaba var. Aynı şeylerin uygulanması gerektiğini düşünüyorum. [in HPC].”



Source link