©2023云安全联盟大中华区版权所有 1 ©2023云安全联盟大中华区版权所有 2物联网工作组官方地址是： https://cloudsecurityalliance.org/research/working-groups/internet-of-things/ @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查 看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a) 本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d) 该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理 使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 3 ©2023云安全联盟大中华区版权所有 4致谢 报告中文版支持单位 浪潮云是中国最早提供云服务的厂商之一（2010），是首批国家机关云服务 提供商。作为中国行业云的引领者，浪潮云致力于成为高品质云服务提供商，具 备“专业、生态、可信赖”三大核心优势。为客户提供云网边端融合、云数智融 合、建管运融合的全栈云服务，构建零信任的云数安全体系，打造新一代混合云。 携手合作伙伴，共建云舟联盟生态，支撑政府、企业数字化转型，助力数字中国 建设。 浪潮云是CSA全球会员单位，支持该报告内容的翻译，但不影响CSA研究 内容的开发权和编辑权。 ©2023云安全联盟大中华区版权所有 5英文版本编写专家 主要作者： JimBasney ChristopherFrenzMichaelRoza BrianRussell 贡献者： PedroCabezas KennyChu JosephLouis-JeanJamesMurphy KristinMyers GarySchaefer RishiTripathi 审校者： AshishVashishtha CSA员工： HillaryBaron ClaireLehnert 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处 给予雅正!联系邮箱[email protected]；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6 序言 随着工业4.0和人工智能等技术的发展，高性能计算（HPC）系统在制造业 和人工智能中也得到了创新性的发展，如在制造业中，利用HPC系统进行高精 度的数值模拟来优化设计方案，减少实验成本；在人工智能中，利用HPC进行 深度学习、大规模数据分析和机器学习等任务，以提高人工智能的效果和性能。 HPC在快速发展和应用的同时，其安全风险和漏洞也逐渐得到关注，特别是HPC 计算集群，成为了加密挖矿掘恶意软件的黑客组织的理想目标。 随着越来越多的HPC系统应用面向终端用户开放，提供互联网接入服务， 针对HPC系统的网络攻击也逐渐增多。然后针对HPC系统安全的防护却有待进 一步加强，目前大部分HPC系统在IT部门之外处理，通常由专门从事HPC系 统的个人管理，可能缺乏正式的网络安全培训和网络攻防实战经验，导致HPC 系统一旦被攻击，其发现、响应、处置和溯源等安全流程将变得更加模糊与困难。 本白皮书以专业的视角，从HPC系统的网络安全桌面推演出发，详细阐述 了HPC系统的架构、HPC系统安全桌面推演中的各方角色、场景构建和注意事 项等，给读者提供了一个详细可落地的高性能计算HPC系统网络安全桌面推演 方案，以帮助HPC系统安全管理人员快速获取网络安全及攻防相关经验，提升 HPC安全管理人员的网络安全响应和处置水平。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有 7目录 致谢......................................................................................................................................4 序言......................................................................................................................................6 1.简介...................................................................................................................................8 利益相关者.................................................................................................................................9 2.HPC架构.......................................................................................................................10 访问区........................................................................................................................................11 管理区........................................................................................................................................11 高性能计算区..........................................................................................................................11 数据存储区...............................................................................................................................11 3.概述................................................................................................................................12 演习规划小组..........................................................................................................................12 4.桌面演习场景的开始...................................................................................................14 参考文献...........................................................................................................................19 ©2023云安全联盟大中华区版权所有 81.简介 虽然新闻中广泛报道了突出的勒索软件攻击和影响组织的大规模数据泄露 事件，但你并不经常读到这些攻击中的一个对高性能计算(HPC)系统的影响。因 此，HPC系统的风险和漏洞是一个在安全对话中经常被低估的领域。虽然在直 接与HPC环境打交道的安全社区之外，并不经常讨论HPC计算机系统作为网络 攻击目标的潜力，但在攻击者圈子里并没有被忽略。特别是，HPC计算集群被 认为是寻求部署加密挖矿掘恶意软件的黑客组织的理想目标。 HPC系统的安全性通常代表了关于组织内如何普遍管理HPC系统的有趣挑 战。在许多计算中心，HPC系统是在组织的IT部门之外处理的，通常由专门从 事HPC系统的个人管理，可能缺乏正式的网络安全培训。同样，大多数组织内 的网络安全团队可以带来专门的网络安全知识，但可能缺乏HPC环境的正式培 训，以及缺乏对HPC架构与更传统的独立Linux/Unix服务器的设置有何不同的 了解。当你把那些经常编写应用程序在HPC系统上运行的研究人员加入进来， 他们可能缺乏HPC系统管理或应用程序安全方面的正式培训，围绕如何开始保 护这些HPC系统的讨论迅速变得非常模糊。 然而，这是一个重要的讨论，特别是当越来越多的HPC应用被发现有一个 基于网络的前端，允许用户与运行在后端的HPC分析应用进行互动。随着各行 业对大数据分析、机器学习、人工智能(AI)和其他此类应用的进一步使用，越来 越多的HPC应用正在获得一个面向公众的前端。在这样做的时候，它使HPC应 用失去了传统上保持其安全的仅有内部可访问性的保护。针对HPC应用的攻击 可