finish introduction

b1ad0bf5 · abrahas55 · 2ebd2274 · b1ad0bf5 · b1ad0bf5
Verified Commit b1ad0bf5 authored 1 year ago by abrahas55
--- a/1_introduction.tex
+++ b/1_introduction.tex
 % !TeX encoding = UTF-8
 \section{Einführung}

-%TODO: was davon gehört eher ins abstract?
-
-%Mit dieser Arbeit möchte ich eine mögliche Lösung skizzieren, indem ich den in
-%Deutschland anerkannten BSI-Grundschutz anwende. Damit überprüfe ich den Cluster
-%CURTA an der Freien Universität Berlin und beginne ein Sicherheitskonzept zu
-%erstellen.  
-
 Die letzten Jahre sind geprägt durch Ereignisse im Cyberraum. Die Kosten durch
 Ransomware betragen jährlich mehr als 200 Milliarden Euro~\cite{bitkom_2021}.

 Dieses Problem wird immer klarer (unter Anderem weil dessen Nichtbeachtung immer 
-teurer wird), jedoch nicht in allen Bereichen gleich. Gerade im High-Performance
+teurer wird), jedoch nicht in allen Bereichen gleichmäßig. Gerade im High-Performance
 Computing Bereich gibt es zum Teil noch große Lücken, was die Sicherheit angeht.
 Viele wissenschaftlichen Arbeiten behandeln Sicherheit wenn überhaupt als
 Randphänomen und es gibt wenig konkrete praktische Anwendungen. 
@@ -20,16 +13,26 @@ Randphänomen und es gibt wenig konkrete praktische Anwendungen.
 Genau deshalb möchte ich dort ansetzen und am Beispiel des CURTA-Clusters
 zeigen, wie der BSI-Grundschutz im HPC Bereich angewandt werden könnte und
 welche Bausteine noch fehlen, um einen geeigneten Sicherheitsstandard zu
-überprüfen und umzusetzen. 
+überprüfen und umzusetzen. Für Systemverantwortliche soll diese Arbeit einen
+Leitfaden für die Anwendung der Grundschutz-Methodik darstellen. 

 \section{Related work}

+Folgend sei ein grober Überblick über die zum Zeitpunkt der Ausarbeitung
+verfügbare Literatur gegeben. Neben den Veröffentlichungen der relevanten
+Institute (BSI, ISO, NIST) gibt es einige wissenschaftliche Arbeiten, die das
+Thema (IT-)Sicherheit und High-Performance Computing verbinden. Zum Teil sind
+diese Arbeiten allerdings theoretischer Natur ohne konkrete Anwendung. Das
+Übertragen der Erkenntnisse auf ein neues System fällt aufgrund der
+Einzigartigkeit jedes Einzelnen schwer. 
+
 \begin{itemize}
  \item BSI-Grundschutz

    Offensichtlich ist der Grundschutz bei einer solchen Arbeit in Deutschland
    miteinzubeziehen. Ich werde im späteren Verlauf der Arbeit spezifischer auf
-    ihn eingehen. 
+    ihn eingehen. Der Grundschutz bildet die Grundlage meiner Betrachtung,
+    hauptsächlich da der von mir zugrunde gelegte Cluster in Deutschland liegt.

  \item ISO und NIST

@@ -43,9 +46,11 @@ welche Bausteine noch fehlen, um einen geeigneten Sicherheitsstandard zu
    Entwurf~\cite{SP800223} beschreibt allgemeine Konfigurationen von
    HPC-Systemen und erläutert die zu betrachtenden Kategorien für eine
    Risikoanalyse. Die Erkenntnisse aus diesem Standardisierungsverfahren dienen 
-    als Inspiration, sowohl für die Nomenklatur als auch die Methodik. 
+    als Inspiration, sowohl für die Nomenklatur als auch die Methodik. Eine
+    dedizierte Betrachtung wäre für internationale und US-basierte Unternehmen 
+    interessant.

-  \item analyzing a compromised HPC cluster 
+  \item \textit{analyzing a compromised HPC cluster}~\cite{brückner_2021}

    Eine post-mortem Analyse einer großen Angriffswelle auf Cluster in Europa
    Mitte 2020. Einerseits zeigt der Artikel einen interessanten Angriffsweg und
@@ -56,4 +61,60 @@ welche Bausteine noch fehlen, um einen geeigneten Sicherheitsstandard zu
    Mehr-Faktor-Authentifizierung, die gegen den beschriebenen Angriff geholfen
    hätten.

+  \item \textit{Security of HPC Systems: From a Log-analyzing Perspective}~\cite{luo_2019}
+    Die Autoren beschreiben die zum Zeitpunkt der Veröffentlichung (2019)
+    diskutierten Angriffs- und Verteidungswege in HPC-Systemen. Der Fokus liegt
+    dabei auf Log-basierten Verfahren, die zunächst System- und Anwendungslogs
+    sammeln und mit den gesammelten Daten ein Eindringungserkennungssystem
+    (\textit{intrusion detection system} zu betreiben. 
+
+    Dies ist ein schönes Beispiel für theoretische Arbeiten zu dem Thema. Sie
+    zeigen die potentiellen Möglichkeiten auf, am Ende bleibt jedoch die Frage
+    offen, wie ein solches System denn überhaupt gebaut werden kann. 
+
+  \item \textit{Cluster Security as a Unique Problem with Emergent Properties:
+    Issues and Techniques}~\cite{yurcik_2004}
+
+    Dieses Paper betont noch einmal den üblichen Fokus der Forschung und
+    Anwender auf die Performanz, wobei die Sicherheit des Systems stets eine
+    untergeordnete Rolle einnimmt. 
+
+    Die Autoren beschreiben die Sicherheit eines Clustersystems als stark
+    unterschiedlich zur Sicherheit eines \enquote{normalen} IT-Systems. Somit
+    ist für die Gesamtsicherheit nicht nur die Sicherheit der einzelnen Knoten
+    zu beachten, sondern auch die Kommunikation dazwischen und nach außen. Sie
+    schlagen, die Sicherheit vov solch vernetzten Systemen als ganzheitliches 
+    Problem zu betrachten. Die vorgeschlagenen Lösungen wurden am
+    \textit{National Center for Supercomputing Applications} entwickelt und
+    umgesetzt. Als Hauptergebnis liefern die Autoren ein Tool, welches
+    Prozessmonitoring, Portscanner und Netzwerkverkehr-Analyse vereint. 
+
+    Interessanterweise sind diese Betrachtungen auch in üblichen Systemen
+    relevant, jedoch ergeben sich aufgrund der Eigenheit von Clustersystemen
+    nicht notwendigerweise einheitliche Maßstäbe zur Bewertung.
+
+  \item \textit{Security in High-Performance Computing
+      Environments}~\cite{peisert_2017}
+
+    Auch 13 Jahre nach der Arbeit von \textit{Yurcik et al.~} betonen
+    Forscher*innen immernoch den Unterschied von Clustersicherheit zu 
+    traditionellen Informationssystemen. In dieser Arbeit werden konkrete
+    Methoden betrachtet und deren Vor- bzw.\@ Nachteile für HPC-Systeme
+    evaluiert. 
+
+    So ist der klassische Ansatz eine Firewall mit \textit{deep packet
+    inspection} für reguläre IT-Infrastrukturen angemessen, jedoch behindert die
+    mögliche Latenz den enormen Datendurchsatz im Netzwerk, der für ein
+    HPC-System notwendig ist. 
+
+    Als sinnvolle Methodik wird die \textit{science-DMZ}~\cite{science_dmz} 
+    vorgestellt. Dabei wird u.~A.\@ der wissenschaftliche Datenverkehr (also 
+    auch das Rechnen auf den Knoten) in eine eigene Zone verschoben. Somit
+    entsteht eine leichter zu beobachtende Dateninfrastruktur, da die Daten nur
+    noch über eine Schnittstelle in den Forschungsbereich gelangen. 
+
+    Die Autoren betonen den Mehrwert der Komplexitätsreduktion des Systems für 
+    die Sicherheit, eine Maßnahme, die auch in regulären Infrastrukturen
+    Anwendung findet. 
+
 \end{itemize}
--- a/bibliography.bib
+++ b/bibliography.bib
@@ -34,3 +34,54 @@
   DOI = {10.6028/NIST.SP.800-223.ipd},
   year = {2023},
 }
+
+@article{luo_2019,
+  author = {Luo, Zhengping and Qu, Zhe and Nguyen, Tung and Zeng, Hui and Lu, Zhuo},
+  year = {2019},
+  month = {08},
+  pages = {163134},
+  title = {Security of HPC Systems: From a Log-analyzing Perspective},
+  volume = {6},
+  journal = {ICST Transactions on Security and Safety},
+  doi = {10.4108/eai.19-8-2019.163134}
+}
+
+@inproceedings{yurcik_2004,
+  title={Cluster Security as a Unique Problem with Emergent Properties: Issues and Techniques},
+  author={William Yurcik and Gregory A. Koenig and Xin Meng and Joe Greenseid},
+  year={2004}
+}
+
+@article{peisert_2017,
+  author = {Peisert, Sean},
+  title = {Security in High-Performance Computing Environments},
+  year = {2017},
+  issue_date = {September 2017},
+  publisher = {Association for Computing Machinery},
+  address = {New York, NY, USA},
+  volume = {60},
+  number = {9},
+  issn = {0001-0782},
+  url = {https://doi.org/10.1145/3096742},
+  doi = {10.1145/3096742},
+  abstract = {Exploring the many distinctive elements that make securing HPC systems much different than securing traditional systems.},
+  journal = {Commun. ACM},
+  month = {aug},
+  pages = {72–80},
+  numpages = {9}
+}
+
+
+@article{science_dmz,
+  title = {The Science DMZ: A Network Design Pattern for Data-Intensive Science},
+  author = {Dart, Eli and Rotman, Lauren and Tierney, Brian and Hester, Mary and Zurawski, Jason},
+  abstractNote = {The ever-increasing scale of scientific data has become a significant challenge for researchers that rely on networks to interact with remote computing systems and transfer results to collaborators worldwide. Despite the availability of high-capacity connections, scientists struggle with inadequate cyberinfrastructure that cripples data transfer performance, and impedes scientific progress. The Science DMZ paradigm comprises a proven set of network design patterns that collectively address these problems for scientists. We explain the Science DMZ model, including network architecture, system configuration, cybersecurity, and performance tools, that creates an optimized network environment for science. We describe use cases from universities, supercomputing centers and research laboratories, highlighting the effectiveness of the Science DMZ model in diverse operational settings. In all, the Science DMZ model is a solid platform that supports any science workflow, and flexibly accommodates emerging network technologies. As a result, the Science DMZ vastly improves collaboration, accelerating scientific discovery.},
+  doi = {},
+  url = {https://www.osti.gov/biblio/1165271}, journal = {},
+  number = ,
+  volume = ,
+  place = {United States},
+  year = {2013},
+  month = {8}
+}
+