NIST SP 800-223 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

こんにちは、丸山満彦です。

昨年2月に公表された、NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態が、ほぼ1年後に確定して公表されましたね...

 

高性能コンピューティングの参照モデル...

HPC System Reference Architecture and Main Components	HPCシステム・リファレンス・アーキテクチャと主要コンポーネント
The HPC system is complex and evolving, and a common lexicon can help describe and identify an HPC system’s architecture, critical elements, security threats, and potential risks. An HPC system is divided into four function zones:	HPCシステムは複雑で進化しており、共通の語彙は、HPCシステムのアーキテクチャ、重要な要素、セキュリティ脅威、潜在的リスクを記述し、識別するのに役立つ。HPCシステムは4つの機能領域に分けられる：
1.    The high-performance computing zone consists of a pool of compute nodes connected by one or more high-speed networks. The high-performance computing zone provides key services specifically designed to run parallel jobs at scale.	1.    高性能コンピューティング領域は、1つ以上の高速ネットワークで接続されたコンピュート・ノードのプールで構成される。高性能コンピューティング領域は、並列ジョブを大規模に実行するために特別に設計された主要なサービスを提供する。
2.    The data storage zone comprises one or multiple high-speed parallel file systems that provide data storage service for user data. The high-speed parallel file systems are designed to store very large data sets and provide fast access to data for reading and writing.	2.    データ保存領域は、ユーザーデータのデータ保存サービスを提供する1つまたは複数の高速並列ファイルシステムで構成される。高速並列ファイルシステムは、非常に大きなデータセットを格納し、読み書きのためのデータへの高速アクセスを提供するように設計されている。
3.    The access zone has one or more nodes that are connected to external networks, such as the broader organizational network or the internet. This zone provides the means for authenticating and authorizing the access and connections of users and administrators. The access zone provides various services, including interactive shells, web-based portals, data transfer, data visualization, and others.	3.    アクセス領域には、より広範な組織ネットワークやインターネットなどの 外部ネットワークに接続される1つ以上のノードがある。この領域は、ユーザーや管理者のアクセスや接続を認証・認可する手段を提供する。アクセス領域は、インタラクティブ・シェル、ウェブベースのポータル、データ転送、データ可視化など、さまざまなサービスを提供する。
4.    The management zone comprises multiple management nodes and/or cloud service clusters through which HPC management services are provided. The management zone allows HPC system administrators to configure and manage the HPC system, including the configuration of compute nodes, storage, networks, provisioning, identity management, auditing, system monitoring, and vulnerability assessment. Various management software modules (e.g., job schedulers, workflow management, and the Domain Name System [DNS]) run in the management zone.	4.    管理領域は、複数の管理ノードおよび/またはクラウドサービスクラスタから構成され、これらを通じてHPCマネージメントサービスが提供される。管理領域では、HPCシステム管理者が、コンピュートノード、ストレージ、ネットワーク、プロビジョニング、ID管理、監査、システム監視、脆弱性評価などのHPCシステムの設定と管理を行うことができる。さまざまな管理ソフトウェアモジュール（ジョブスケジューラ、ワークフロー管理、ドメインネームシステム[DNS]など）は、管理領域で実行される。

 

 

 

● NIST - ITL

・2024.02.09 NIST SP 800-223 High-Performance Computing Security: Architecture, Threat Analysis, and Security Posture

NIST SP 800-223 High-Performance Computing Security: Architecture, Threat Analysis, and Security Posture	NIST SP 800-223 高性能コンピューティング・セキュリティ： アーキテクチャ、脅威分析、セキュリティ体制
Abstract	概要
Security is essential component of high-performance computing (HPC). HPC systems often differ based on the evolution of their system designs, the applications they run, and the missions they support. An HPC system may also have its own unique security requirements, follow different security guidance, and require tailored security solutions. Their complexity and uniqueness impede the sharing of security solutions and knowledge. This NIST Special Publication aims to standardize and facilitate the information and knowledge-sharing of HPC security using an HPC system reference architecture and key components as the basis of an HPC system lexicon. This publication also analyzes HPC threats, considers current HPC security postures and challenges, and makes best-practice recommendations.	セキュリティはハイパフォーマンス・コンピューティング（HPC）に不可欠な要素である。HPCシステムは、システム設計の進化、実行するアプリケーション、サポートするミッションによって異なることが多い。また、HPCシステムには独自のセキュリティ要件があり、異なるセキュリティガイダンスに従わなければならない場合もある。その複雑さと独自性が、セキュリティソリューションと知識の共有を妨げている。本NIST特別刊行物は、HPCシステム辞書の基礎となるHPCシステム参照アーキテクチャと主要コンポーネントを使用して、HPCセキュリティに関する情報と知識の共有を標準化し、促進することを目的としている。また、本書はHPCの脅威を分析し、現在のHPCセキュリティの姿勢と課題を考察し、ベストプラクティスの推奨を行う。

 

・[PDF] SP.800-223

 

・[DOCX] 仮訳

・[PDF] 仮訳

 

目次...

1. Introduction	1. 序文
2. HPC System Reference Architecture and Main Components	2. HPCシステム・リファレンス・アーキテクチャと主要コンポーネント
2.1. Main Components	2.1. 主要コンポーネント
2.1.1. Components of the High-Performance Computing Zone	2.1.1. 高性能コンピューティング領域のコンポーネント
2.1.2. Components of the Data Storage Zone	2.1.2. データ保存領域の構成要素
2.1.3. Parallel File System	2.1.3. 並列ファイルシステム
2.1.4. Archival and Campaign Storage	2.1.4. アーカイブとキャンペーン・ストレージ
2.1.5. Burst Buffer	2.1.5. バースト・バッファ
2.1.6. Components of the Access Zone	2.1.6. アクセス領域の構成要素
2.1.7. Components of the Management Zone	2.1.7. 管理領域の構成要素
2.1.8. General Architecture and Characteristics	2.1.8. 一般的なアーキテクチャと特徴
2.1.9. Basic Services	2.1.9. 基本サービス
2.1.10. Configuration Management	2.1.10. 構成管理
2.1.11. HPC Scheduler and Workflow Management	2.1.11. HPCスケジューラとワークフロー管理
2.1.12. HPC Software	2.1.12. HPCソフトウェア
2.1.13. User Software	2.1.13. ユーザーソフトウェア
2.1.14. Site-Provided Software and Vendor Software	2.1.14. サイト提供ソフトウェアおよびベンダーソフトウェア
2.1.15. Containerized Software in HPC	2.1.15. HPCにおけるコンテナ化されたソフトウェア
3. HPC Threat Analysis	3. HPCの脅威分析
3.1. Key HPC Security Characteristics and Use Requirements	3.1. 主なHPCセキュリティ特性と使用要件
3.2. Threats to HPC Function Zones	3.2. HPC機能領域への脅威
3.2.1. Access Zone Threats	3.2.1. アクセス領域の脅威
3.2.2. Management Zone Threats	3.2.2. 管理領域の脅威
3.2.3. High-Performance Computing Zone Threats	3.2.3. 高性能コンピューティング領域の脅威
3.2.4. Data Storage Zone Threats	3.2.4. データ保存領域の脅威
3.3. Other Threats	3.3. その他の脅威
4. HPC Security Posture, Challenges, and Recommendations	4. HPCセキュリティ体制、課題、提言
4.1. HPC Access Control via Network Segmentation	4.1. ネットワーク・セグメンテーションによるHPCアクセス制御
4.2. Compute Node Sanitization	4.2. 計算ノードのサニタイゼーション
4.3. Data Integrity Protection	4.3. データの完全性防御
4.4. Securing Containers	4.4. コンテナの保護
4.5. Achieving Security While Maintaining HPC Performance	4.5. HPC性能を維持しながらセキュリティを実現する
4.6. Challenges to HPC Security Tools	4.6. HPCセキュリティツールの課題
References	参考文献
Appendix A. HPC Architecture Variants	附属書A. HPCアーキテクチャのバリエーション
A.1. Diskless Booting HPC	A.1. ディスクレスブートHPC
A.2. Virtualized and Containerized HPC Environments	A.2. 仮想化およびコンテナ化されたHPC環境
A.3. Cloud HPC Environments	A.3. クラウドHPC環境

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.30 NIST IR 8476 第3回 高性能コンピューティングセキュリティワークショップ： NIST-NSF合同ワークショップ報告書

・2023.07.21 CSA ハイパフォーマンス・コンピューティング机上演習ガイド

・2023.02.08 NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態