Skip to content
Snippets Groups Projects
Verified Commit b1ad0bf5 authored by abrahas55's avatar abrahas55
Browse files

finish introduction

parent 2ebd2274
No related branches found
No related tags found
Loading
% !TeX encoding = UTF-8
\section{Einführung}
%TODO: was davon gehört eher ins abstract?
%Mit dieser Arbeit möchte ich eine mögliche Lösung skizzieren, indem ich den in
%Deutschland anerkannten BSI-Grundschutz anwende. Damit überprüfe ich den Cluster
%CURTA an der Freien Universität Berlin und beginne ein Sicherheitskonzept zu
%erstellen.
Die letzten Jahre sind geprägt durch Ereignisse im Cyberraum. Die Kosten durch
Ransomware betragen jährlich mehr als 200 Milliarden Euro~\cite{bitkom_2021}.
Dieses Problem wird immer klarer (unter Anderem weil dessen Nichtbeachtung immer
teurer wird), jedoch nicht in allen Bereichen gleich. Gerade im High-Performance
teurer wird), jedoch nicht in allen Bereichen gleichmäßig. Gerade im High-Performance
Computing Bereich gibt es zum Teil noch große Lücken, was die Sicherheit angeht.
Viele wissenschaftlichen Arbeiten behandeln Sicherheit wenn überhaupt als
Randphänomen und es gibt wenig konkrete praktische Anwendungen.
......@@ -20,16 +13,26 @@ Randphänomen und es gibt wenig konkrete praktische Anwendungen.
Genau deshalb möchte ich dort ansetzen und am Beispiel des CURTA-Clusters
zeigen, wie der BSI-Grundschutz im HPC Bereich angewandt werden könnte und
welche Bausteine noch fehlen, um einen geeigneten Sicherheitsstandard zu
überprüfen und umzusetzen.
überprüfen und umzusetzen. Für Systemverantwortliche soll diese Arbeit einen
Leitfaden für die Anwendung der Grundschutz-Methodik darstellen.
\section{Related work}
Folgend sei ein grober Überblick über die zum Zeitpunkt der Ausarbeitung
verfügbare Literatur gegeben. Neben den Veröffentlichungen der relevanten
Institute (BSI, ISO, NIST) gibt es einige wissenschaftliche Arbeiten, die das
Thema (IT-)Sicherheit und High-Performance Computing verbinden. Zum Teil sind
diese Arbeiten allerdings theoretischer Natur ohne konkrete Anwendung. Das
Übertragen der Erkenntnisse auf ein neues System fällt aufgrund der
Einzigartigkeit jedes Einzelnen schwer.
\begin{itemize}
\item BSI-Grundschutz
Offensichtlich ist der Grundschutz bei einer solchen Arbeit in Deutschland
miteinzubeziehen. Ich werde im späteren Verlauf der Arbeit spezifischer auf
ihn eingehen.
ihn eingehen. Der Grundschutz bildet die Grundlage meiner Betrachtung,
hauptsächlich da der von mir zugrunde gelegte Cluster in Deutschland liegt.
\item ISO und NIST
......@@ -43,9 +46,11 @@ welche Bausteine noch fehlen, um einen geeigneten Sicherheitsstandard zu
Entwurf~\cite{SP800223} beschreibt allgemeine Konfigurationen von
HPC-Systemen und erläutert die zu betrachtenden Kategorien für eine
Risikoanalyse. Die Erkenntnisse aus diesem Standardisierungsverfahren dienen
als Inspiration, sowohl für die Nomenklatur als auch die Methodik.
als Inspiration, sowohl für die Nomenklatur als auch die Methodik. Eine
dedizierte Betrachtung wäre für internationale und US-basierte Unternehmen
interessant.
\item analyzing a compromised HPC cluster
\item \textit{analyzing a compromised HPC cluster}~\cite{brückner_2021}
Eine post-mortem Analyse einer großen Angriffswelle auf Cluster in Europa
Mitte 2020. Einerseits zeigt der Artikel einen interessanten Angriffsweg und
......@@ -56,4 +61,60 @@ welche Bausteine noch fehlen, um einen geeigneten Sicherheitsstandard zu
Mehr-Faktor-Authentifizierung, die gegen den beschriebenen Angriff geholfen
hätten.
\item \textit{Security of HPC Systems: From a Log-analyzing Perspective}~\cite{luo_2019}
Die Autoren beschreiben die zum Zeitpunkt der Veröffentlichung (2019)
diskutierten Angriffs- und Verteidungswege in HPC-Systemen. Der Fokus liegt
dabei auf Log-basierten Verfahren, die zunächst System- und Anwendungslogs
sammeln und mit den gesammelten Daten ein Eindringungserkennungssystem
(\textit{intrusion detection system} zu betreiben.
Dies ist ein schönes Beispiel für theoretische Arbeiten zu dem Thema. Sie
zeigen die potentiellen Möglichkeiten auf, am Ende bleibt jedoch die Frage
offen, wie ein solches System denn überhaupt gebaut werden kann.
\item \textit{Cluster Security as a Unique Problem with Emergent Properties:
Issues and Techniques}~\cite{yurcik_2004}
Dieses Paper betont noch einmal den üblichen Fokus der Forschung und
Anwender auf die Performanz, wobei die Sicherheit des Systems stets eine
untergeordnete Rolle einnimmt.
Die Autoren beschreiben die Sicherheit eines Clustersystems als stark
unterschiedlich zur Sicherheit eines \enquote{normalen} IT-Systems. Somit
ist für die Gesamtsicherheit nicht nur die Sicherheit der einzelnen Knoten
zu beachten, sondern auch die Kommunikation dazwischen und nach außen. Sie
schlagen, die Sicherheit vov solch vernetzten Systemen als ganzheitliches
Problem zu betrachten. Die vorgeschlagenen Lösungen wurden am
\textit{National Center for Supercomputing Applications} entwickelt und
umgesetzt. Als Hauptergebnis liefern die Autoren ein Tool, welches
Prozessmonitoring, Portscanner und Netzwerkverkehr-Analyse vereint.
Interessanterweise sind diese Betrachtungen auch in üblichen Systemen
relevant, jedoch ergeben sich aufgrund der Eigenheit von Clustersystemen
nicht notwendigerweise einheitliche Maßstäbe zur Bewertung.
\item \textit{Security in High-Performance Computing
Environments}~\cite{peisert_2017}
Auch 13 Jahre nach der Arbeit von \textit{Yurcik et al.~} betonen
Forscher*innen immernoch den Unterschied von Clustersicherheit zu
traditionellen Informationssystemen. In dieser Arbeit werden konkrete
Methoden betrachtet und deren Vor- bzw.\@ Nachteile für HPC-Systeme
evaluiert.
So ist der klassische Ansatz eine Firewall mit \textit{deep packet
inspection} für reguläre IT-Infrastrukturen angemessen, jedoch behindert die
mögliche Latenz den enormen Datendurchsatz im Netzwerk, der für ein
HPC-System notwendig ist.
Als sinnvolle Methodik wird die \textit{science-DMZ}~\cite{science_dmz}
vorgestellt. Dabei wird u.~A.\@ der wissenschaftliche Datenverkehr (also
auch das Rechnen auf den Knoten) in eine eigene Zone verschoben. Somit
entsteht eine leichter zu beobachtende Dateninfrastruktur, da die Daten nur
noch über eine Schnittstelle in den Forschungsbereich gelangen.
Die Autoren betonen den Mehrwert der Komplexitätsreduktion des Systems für
die Sicherheit, eine Maßnahme, die auch in regulären Infrastrukturen
Anwendung findet.
\end{itemize}
......@@ -34,3 +34,54 @@
DOI = {10.6028/NIST.SP.800-223.ipd},
year = {2023},
}
@article{luo_2019,
author = {Luo, Zhengping and Qu, Zhe and Nguyen, Tung and Zeng, Hui and Lu, Zhuo},
year = {2019},
month = {08},
pages = {163134},
title = {Security of HPC Systems: From a Log-analyzing Perspective},
volume = {6},
journal = {ICST Transactions on Security and Safety},
doi = {10.4108/eai.19-8-2019.163134}
}
@inproceedings{yurcik_2004,
title={Cluster Security as a Unique Problem with Emergent Properties: Issues and Techniques},
author={William Yurcik and Gregory A. Koenig and Xin Meng and Joe Greenseid},
year={2004}
}
@article{peisert_2017,
author = {Peisert, Sean},
title = {Security in High-Performance Computing Environments},
year = {2017},
issue_date = {September 2017},
publisher = {Association for Computing Machinery},
address = {New York, NY, USA},
volume = {60},
number = {9},
issn = {0001-0782},
url = {https://doi.org/10.1145/3096742},
doi = {10.1145/3096742},
abstract = {Exploring the many distinctive elements that make securing HPC systems much different than securing traditional systems.},
journal = {Commun. ACM},
month = {aug},
pages = {72–80},
numpages = {9}
}
@article{science_dmz,
title = {The Science DMZ: A Network Design Pattern for Data-Intensive Science},
author = {Dart, Eli and Rotman, Lauren and Tierney, Brian and Hester, Mary and Zurawski, Jason},
abstractNote = {The ever-increasing scale of scientific data has become a significant challenge for researchers that rely on networks to interact with remote computing systems and transfer results to collaborators worldwide. Despite the availability of high-capacity connections, scientists struggle with inadequate cyberinfrastructure that cripples data transfer performance, and impedes scientific progress. The Science DMZ paradigm comprises a proven set of network design patterns that collectively address these problems for scientists. We explain the Science DMZ model, including network architecture, system configuration, cybersecurity, and performance tools, that creates an optimized network environment for science. We describe use cases from universities, supercomputing centers and research laboratories, highlighting the effectiveness of the Science DMZ model in diverse operational settings. In all, the Science DMZ model is a solid platform that supports any science workflow, and flexibly accommodates emerging network technologies. As a result, the Science DMZ vastly improves collaboration, accelerating scientific discovery.},
doi = {},
url = {https://www.osti.gov/biblio/1165271}, journal = {},
number = ,
volume = ,
place = {United States},
year = {2013},
month = {8}
}
0% Loading or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment