Bezpieczny superkomputer

W celu zabezpieczenia systemów superkomputerowych i jednoczesnego zapewnienia łatwego dostępu użytkownikom zdalnym, ich administratorzy w ośrodkach naukowych starają się unikać standardowych rozwiązań.

W celu zabezpieczenia systemów superkomputerowych i jednoczesnego zapewnienia łatwego dostępu użytkownikom zdalnym, ich administratorzy w ośrodkach naukowych starają się unikać standardowych rozwiązań.

Większość superkomputerów jest eksploatowanych w ośrodkach naukowych, gdzie realizują bardzo skomplikowane obliczenia. Przeważnie są to duże klastry, a najczęściej wykorzystywanym systemem operacyjnym jest Linux (na 500 najmocniejszych maszyn na świecie wg listy TOP500, aż 427 pracuje pod kontrolą tego systemu). Jednym z superkomputerów notowanych na niej jest polski klaster Galera w Trójmiejskiej Akademickiej Sieci Komputerowej (TASK). Maszyna ta znajduje się obecnie na 45. miejscu rankingu. Jest to też najszybszy obecnie komputer w Polsce, który dysponuje 5376 rdzeniami w architekturze EM64T, wykorzystuje 10 TB pamięci RAM i 107 TB pamięci dyskowej. Superkomputer używa magistrali Infiniband DDR i pracuje pod kontrolą zmodyfikowanej wersji Debian GNU/Linux 4.0.

Łatwy dostęp

Ponieważ użytkownikami Galery są naukowcy, którzy potrzebują łatwego dostępu do zasobów, zrezygnowano z całkowitej separacji sieci. "Dzięki temu, że włamywaczem byłby co najwyżej pasjonat technologii, względnie słabe zabezpieczenia są w zupełności wystarczające" - uważa Rafał Tylman, główny administrator w Zespole ds. Komputerów Dużej Mocy i Oprogramowania TASK.

"Włamywacze będą raczej zainteresowani kompromitacją maszyn wojskowych lub rządowych bądź publicznych serwerów WWW, czymś, co dałoby duży rozgłos. Ponadto prędzej stworzą sieć przejętych komputerów domowych, aby wysyłać spam lub kraść informacje np. o kartach kredytowych. To przynosi pieniądze, których nie znajdą włamując się do naukowego superkomputera" - dodaje.

Najważniejszym zastosowaniem Galery są prace naukowe, przy czym nie ma tam danych, które byłyby poufne lub wymagałyby ochrony w szczególny sposób. Typowy włamywacz komercyjny nie ma więc motywacji, aby atakować takie maszyny.

Priorytetem jest wydajność

Superkomputery są oczywiście chronione, ale poziom bezpieczeństwa jest tak dobrany, aby autoryzowany dostęp był stosunkowo łatwy, a jednocześnie na tyle wysoki, aby osoby "bawiące się" technologią komputerową nie zrobiły szkód. Wykorzystywana jest osobna podsieć IP, stosowany jest nadzór i niestandardowe zabezpieczenia.

Użytkownicy korzystający z Galery są osobami odpowiedzialnymi, zatem nie ma potrzeby specjalnego separowania ich zadań. "Prace naukowców raczej nie mogą zaszkodzić systemowi. Są to bardzo zaawansowani użytkownicy, których grupy od lat piszą specjalne oprogramowanie. Tu nie ma miejsca na złośliwych użytkowników, którzy chcieliby coś zepsuć" - mówi Rafał Tylman. Dlatego priorytetem osób zajmujących się obsługą i zarządzaniem Galerą jest maksymalizacja wydajności obliczeniowej. Administratorom zależy nie na ograniczaniu użytkowników, ale na dostrojeniu systemu, aby dostarczyć im jak największej wydajności. "Wprowadzenie mechanizmów ochrony w systemie operacyjnym powoduje istotne ograniczenie wydajności - maszyna będzie pracowała także na ochronę samej siebie" - dodaje Rafał Tylman.

Galera jest klastrem, zatem wyłączenie nawet kilku węzłów nie powoduje przestoju w pracy, a jedynie zmniejszenie wydajności obliczeń. Nie jest to maszyna wykorzystywana do obsługi aplikacji o znaczeniu krytycznym, więc krótkotrwały spadek wydajności nie stanowi problemu. Dla niezawodnej pracy superkomputera należy jednak zapewnić zasilanie gwarantowane. W przypadku Galery zastosowano zasilacze awaryjne i agregat prądotwórczy. Z tego źródła zasilane są maszyny klastra, serwery plików oraz klimatyzacja. Superkomputery - ze względu na bardzo dużą gęstość mocy - nie mogą pracować bez systemów klimatyzacji, a to oznacza, że jest to ważny element związany z taką maszyną.

Nic z pudełka

Chociaż są dostępne pakiety oprogramowania klastrującego dla najważniejszych dystrybucji Linuxa (Debian, RedHat, SuSE), twórcy i administratorzy Galery odeszli od standardów. Istotne elementy systemu operacyjnego, takie jak jądro, są dostosowane do sprzętu. Konfiguracja również odbiega od standardu, podobnie programy są tworzone ze specjalnymi opcjami kompilatora. Te zasady oraz wiedza administratorów sprawiają, że przełamanie zabezpieczeń jest na tyle trudne, że nie opłaca się pasjonatom. Natomiast zawodowcy z reguły wybiorą łatwiejsze sposoby pozyskania dużej mocy obliczeniowej, takie jak tworzenie botnetów z przejętych komputerów domowych Windows.

Gdy superkomputer jest wykorzystywany komercyjnie, zawiera poufne dane, wobec których wymagany jest wysoki poziom bezpieczeństwa. Jedynym sposobem ich ochrony jest całkowita separacja obu sieci oraz ochrona dostępu. "Przy wysokim poziomie bezpieczeństwa, należy wziąć pod uwagę ekspertów w dziedzinie włamań. Dla każdego z zabezpieczeń znajdzie się sposób jego obejścia. Aby mieć pewność, że maszyna nie będzie zdalnie skompromitowana, trzeba zapewnić fizyczną separację sieci. Gdy mówimy o komputerach dużej mocy, realizujących poufne i bardzo ważne zadania, jest to warunek konieczny" - mówi Rafał Tylman.

Całkowite oddzielenie sieci obejmuje utworzenie osobnej sieci dla przetwarzania danych poufnych, różnej od tej, która służy do normalnego ruchu, takiego jak poczta czy WWW. Jeśli w ogóle byłoby jakiekolwiek połączenie między nimi, należy je starannie zabezpieczyć. W grę powinny wchodzić nie tylko zabezpieczenia techniczne, ale także proceduralne, wliczając ochronę przed atakami socjotechnicznymi. Jak pokazuje bowiem historia Internetu, regularnie pojawiają się sposoby obejścia nawet najbardziej skomplikowanych zabezpieczeń. Najsłabszym ogniwem jest człowiek.

Jeśli superkomputer zawiera istotne dane, które należy chronić, oprócz zasilania gwarantowanego należy wdrożyć system automatycznego gaszenia pożaru. Gęstość mocy, którą osiągają superkomputery, jest na tyle duża, że pożar mógłby się szybko rozprzestrzeniać.