世界のスーパーコンピュータとそれを動かす人々


3月 27, 2023

HPCのトッププレイヤーたちへ:セキュリティに真剣に取り組むべき時が来た

HPCwire Japan

Agam Shah オリジナル記事

時間切れだ:高速化の必要性からほとんど無視されてきたハイパフォーマンス・コンピューティング・システムに、セキュリティの安全策を導入することに真剣に取り組むべき時が来た、というのがほぼ全員の一致した意見である。米国国立標準技術研究所(NIST)のワーキンググループは先月、スーパーコンピュータをハッキングや悪意ある行為から保護するための設計図となるハイパフォーマンス・コンピューティング・セキュリティ・モデルを発表した。

 
   

HPCシステムでは、セキュリティ層の実装がスーパーコンピュータの速度を低下させる可能性があるため、セキュリティは処理能力の二の次になっていた。オペレーターは通常、システムから最大限の性能を引き出したいと考えている。また、HPCユーザーは、システムベンダーがセキュリティを優先しないことに不満を抱いている。システムベンダーは、契約書に記載された性能ベンチマークを満たすことに関心が高いからだ。

官民が協力して、ハードウェア、ソフトウェア、ストレージ、ネットワークを網羅するHPCセキュリティの青写真を作成した。「HPCは大規模で複雑なシステムであり、厳しい性能が要求されます。個々の機器に有効なセキュリティツールは、HPC環境ではうまく機能しないかもしれません」と、この文書の著者*は述べている

HPCではパフォーマンスが最重要であり、システムのパフォーマンスを阻害するようなセキュリティ対策は採用されないというのが、この論文の骨子だ。

HPCシステムは、従来のサーバー設備とは異なる動作をする。ハードディスクを保存するためのフォレンジックツールのインストールは、PCやサーバーでは意味があっても、ハイパフォーマンスコンピュータでは意味がない、と文書では述べている。同様に、アンチウイルスをインストールし、受信するすべてのファイルをスキャンすることは、PCでは意味があるが、高性能コンピュータでは意味がない。

この文書では、HPCコンピューティングモデルを定義し、システムの安全性を確保する方法について推奨している。また、HPCシステムにセキュリティ保護措置が必要な理由も指摘している。科学的な実験に必要な独自のハードウェアとソフトウェアの要件は、従来のコンピューティング環境と比較して十分に整備されていない可能性があるため、システムは脆弱である可能性があるのだ。

「HPCは大量の機密研究データ、個人を特定できる情報、知的財産を保存することができるため、保護する必要があります」 と文書には書かれている。

このリファレンスモデルは、国防総省の資金援助を受けているMITのリンカーン研究所で使用されているセキュリティ技術を応用している。このモデルでは、HPCシステムを4つの機能ゾーンに分け、別々にセキュリティを確保することができる。1つはシステムアクセス、もう1つはCPUとGPU、3つ目はストレージ、そして4つ目はソフトウェアスタックとシステム管理ツールである。

これらのゾーンにはそれぞれ固有のセキュリティ要件があり、個別にセキュリティを確保する必要がある。ゾーンは分離された機能では無いが、セキュリティの呼び出しは各ゾーンのユニークなニーズに限定され、システム全体のすべてのノードに及ぶものではない。

「アクセスゾーン」には、システムにログインする外部ユーザー、ユーザーの認証、システムへのアクセスの承認が含まれる。接続のサニタイズだけでなく、サービスへアクセスするためのシェルやウェブベースの接続、システムへのデータ転送もこのゾーンに含まれる。

「このゾーンにあるノードとそのソフトウェアスタックは、サービス拒否攻撃、周辺ネットワークのスキャンとスニッフィング、認証攻撃、ユーザーセッションのハイジャック、マシン・イン・ザ・ミドル攻撃などの外部攻撃の影響を受けやすい」と文書には書かれている。

テキサス大学オースティン校などのHPC事業者は、ユーザーの認証に多要素認証を使用している。昨年のSC22トレードショーで開催されたセキュリティワークショップの参加者は、2要素認証は手始めではあるが、アクセスゾーンを保護するためにもっとできることがある、と述べている。

「管理ゾーン」には、プロビジョニング、スケジューリング、仮想化、設定、タスクの管理など、タスクをこなすためのソフトウェア側が含まれる。

「特権アクセス権限を持つ管理者のみが管理ゾーンにログインすることができ、特権管理者はまずアクセスゾーンにログインし、その後管理ゾーンにログインします。悪意のあるユーザーが管理ゾーンへのログインを試みる可能性があります」と文書には書かれている。

MITは、管理者にシステムリソースへの自由なアクセスを与えていたルートアクセスを廃止することで、管理ゾーンを保護した。その代わりに、システム管理者は「sudo」と呼ばれるシェルコマンドによってroot権限を持ち、システム管理者による活動の監査証跡を維持する。

アクセスゾーンと管理ゾーンは、コンピューティングを行う2つのハードウェアゾーンに接続されている。

「ハイパフォーマンス・コンピューティングゾーン」には並列計算を行うコンピュートノードが、「データストレージゾーン」にはGPFSやLustreベースのPFSなど、計算のために定期的にアクセスされるペタバイトやエクサバイトのデータを保存する並列ファイルシステムが含まれる。

「データ保存ゾーン では、ユーザーデータの機密性と完全性を保護することが不可欠です。データの完全性は、悪意のあるデータの削除、破損、汚染、または偽のデータ注入によって損なわれる可能性があるため、不正な特権アクセスを得ることは大きな脅威となります」と、文書では指摘している。

ハイパフォーマンス・コンピューティング・ゾーンは、最近インテルやAMDのチップに影響を与えているサイドチャネル攻撃やファームウェア・エクスプロイトに脆弱である可能性がある。このような攻撃により、ハッカーは重要な情報を盗んだり、スーパーコンピュータへの永続的なアクセスを可能にするブート層に変更を加えたりすることができる。

インテルが先月発表した年次セキュリティ報告書では、30件のBIOSと21件のCPUの脆弱性について警告を発していることが明らかになった。また、悪用された場合、システムの性能を害する可能性があると、NISTの文書には書かれている。

このドラフト文書は、4月7日までコメントを募集している。3月15日と16日にメリーランド州ロックビルで開催される第3回高性能コンピューティングセキュリティワークショップに先立ち発表され、このテーマについてさらなる議論が行われる予定だ。

* 著者 Yang Guo (NIST), Ramaswamy Chandramouli (NIST), Lowell Wofford (Amazon. com)、Rickey Gregg(HPCMP)、Gary Key(HPCMP)、Antwan Clark(物理科学研究所)、Catherine Hinton(ロスアラモス国立研究所)、Andrew Prout(MIT Lincoln Laboratory)、Albert Reuther(MIT Lincoln Laboratory), Ryan Adamson(オークリッジ国立研究所)、Aron Warren(サンディア国立研究所)、Purushotham Bangalore(アラバマ大学)、Erik Deumens(フロリダ大学)、Csilla Farkas(サウスカロライナ大学)