战略与政策

美国家标准与技术研究院发布高性能计算安全性参考标准

日期:2023-03-27

|  来源:【字号:

 202326日,美国国家标准与技术研究院(NIST)发布《高性能计算(HPC)安全性:体系结构、威胁分析和安全态势》草案,旨在开发HPC系统参考模型和关键组件,并将其作为HPC系统词典的基础信息引入,以实现HPC安全信息和知识的标准化,并促进共享。该草案主要内容包括:

1. HPC系统功能区划分

1)高性能计算区,由一个或多个高速网络连接的计算节点池组成。该区域提供一些关键服务,专门用于大规模并行作业。

2)数据存储区,由一个或多个高速并行文件系统组成,为用户提供数据存储服务。高速并行文件系统可存储非常大的数据集,并提供数据快速访问和读写的功能。

3)访问区,包含一个或多个连接到外部网络的节点。该区域提供对用户和管理员的访问和进行身份验证和授权的方法。访问区提供各种服务,包括基于Web的门户、数据传输、数据可视化等。

4)管理区包括多个管理节点或云服务集群,用于提供HPC管理服务。HPC系统管理员可通过管理区配置和管理HPC系统,包括配置计算节点、存储和网络、预配、身份管理、审核、系统监控和漏洞评估。管理区可为用户提供高性能计算服务以及配置对数据存储服务的访问。作业调度程序、工作流管理和域名系统(DNS)中的各种管理软件模块均在管理区运行。

2. HPC安全建议

1)构建多个物理网络是访问控制的有效手段。访问控制是一种安全技术,规定了谁可以访问或使用计算环境中的资源。

2)清理计算节点,不仅可防止之前作业中的数据意外泄露,还能让新作业以全新的状态开始运行。

3)实行数据加密,保护数据的完整性。HPC数据存储系统通常支持在文件级别或块级别实施统一加密。在文件系统级别实施此类数据加密可保护数据免遭未经授权的访问,但它不提供细粒度的访问。即使是系统管理员,也无法通过细粒度的访问来访问用户数据。

4)加强容器保护,减少容器漏洞暴露的风险。容器具有可移植、可重现和提高生产力的优势,但它们会隐藏软件。因此,可加强对用户的培训,让其在HPC编程环境中开发程序。

5)兼顾HPC性能与安全性。可有效地平衡性能和安全性方法有:通过测试来测量安全工具的性能损失,并进行基准比较,确定能否接受这种损失;将安全要求融入HPC初始设计阶段;避免采取“一刀切”的安全措施。

信息来源:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-223.ipd.pdf

附件: