IIC 엔드 포인트 보안 모범 사례

최근에 산업 인터넷 컨소시엄은 엔드 포인트에 대한 권장 보안 모범 사례와 함께 흥미로운 논문을 발표했습니다.

Barbara IoT는 IoT 보안에 많은 작업이 있고 디바이스가 현재 IoT 가치 사슬에 존재하는 가장 약한 링크 일 것이라고 강력하게 믿고 있기 때문에 항상 이런 종류의 이니셔티브에 흥분합니다. 우리가 알고 있듯이, 체인은 가장 약한 링크만큼 강력하므로 장치를 보호하는 것이 필수적입니다 (아직없는 경우).

이 기사에서는 IIC 권장 사항의 기본 사항을 살펴보고 IoT 장치 수명주기를위한 안전한 솔루션 인 Barbara Software Platform에 대해 설명합니다. 다음 표는 준수 매트릭스를 요약 한 것입니다.

하지만 자세한 내용을 살펴 보겠습니다.

보안 수준 :

IIC는 IEC 62443 3–3에 정의 된 보안 수준 2, 3 및 4에 해당하는 SLB (Security Level Basic), SLE (Security Level Enhanced) 및 SLC (Security Level Critical)의 세 가지 보안 수준을 정의합니다. 기본 수준은 "자원이 적은 간단한 수단을 사용하여 의도적 인 위반"으로부터 보호합니다. 강화 된 수준은 "적당한 자원을 가진 정교한 수단"으로부터 시스템을 보호합니다. "확장 된 리소스를 갖춘 정교한 수단"에 대한 보호 기능을 제공하는 임계 레벨이 강화됩니다. 응용 프로그램 및 환경에 따라 적절한 보안 수준으로 엔드 포인트를 보호해야합니다.

이 보안 수준을 기반으로 IIC는 개방형 표준을 기반으로하고 여러 공급 업체, 다중 플랫폼 엔드 포인트간에 상호 운용 가능한 안전한 3 가지 아키텍처를 제안합니다.

IIC 제안 아키텍처

이러한 구성 요소 각각에 대해 자세히 살펴보고 이에 대해 자세히 설명하고 Barbara Software Platform이 IIC 지침을 준수하는 방법을 알아 봅니다.

신뢰의 뿌리 :

RoT (루트 오브 트러스트)는 모든 엔드 포인트 보안의 기초가되며 엔드 포인트 ID 및 소프트웨어 및 하드웨어 ID 및 무결성을 증명하는 기능을 제공합니다. 아시다시피, 엔드 포인트는 신뢰의 루트만큼 강력하므로 신뢰의 루트를 안전하게 구현해야합니다.

특히 IIC는 강화되고 중요한 보안 수준을 위해서는 하드웨어를 기반으로 신뢰 루트를 구현해야한다고 주장합니다. IIC 권장 사항을 준수하려면 변조 방지 기능이있는 특정 하드웨어 보안 칩 (또는 이와 유사한)이 필요할 수 있습니다.

신뢰할 수있는 루트와 관련하여 Barbara Software Platform은 모든 보안 기능을 통합하여 신뢰할 수있는 루트를 강화합니다. 당사의 소프트웨어 스택은 개인 소유 PKI (공개 키 암호화 표준을 기반으로하는 공개 키 인프라)를 사용하며 고객이 선택한 신뢰할 수있는 플랫폼 모듈과 쉽게 통합 할 수 있도록 해당 후크를 제공합니다.

엔드 포인트 ID :

엔드 포인트 ID는 대부분의 보안 기능을 구축하기위한 기본 구성 요소입니다. IIC 권고에 따르면 PKI (Public Key Infrastructure) 지원은 기본, 강화 및 중요 수준을 포괄하기 위해 필수적입니다. 내부 또는 외부 CA (인증 기관)에서 인증서를 발급하고 관리하기위한 Open 표준 인증서 관리 프로토콜을 구현하는 것이 좋습니다.

이전에 언급 한 바와 같이 Barbara Software Platform은 PKCS (Freeipa, www.freeipa.org/)에 기반한 자체 PKI를 포함하고 있습니다. FreeIPA는 중앙 집중식 인증, 권한 부여 및 계정 정보를 제공하는 통합 ID 및 인증 솔루션입니다. IIC의 요청에 따라 FreeIPA는 잘 알려진 오픈 소스 구성 요소 및 표준 프로토콜 위에 구축됩니다.

보안 부트:

엔드 포인트 전원 켜기를 암호로 보호하는 신뢰할 수있는 보안 부팅 시스템은 기본, 강화 및 중요 수준에 대한 요구 사항입니다. IIC 모범 사례에 따르면 PKCS (Public Key Cryptography Standards)를 기반으로 암호화 해시를 구현할 수 있습니다. 올바른 키가없는 소프트웨어가 장치를 부팅 할 수 있는지 확인할 수 있습니다. Barbara Software Platform은 합리적인 노력으로 안전한 부팅을 지원하는 하드웨어 보드로 이식 될 수 있습니다.

암호화 서비스 및 보안 통신 :

데이터 전송 (동작 중), 데이터 저장 (휴면 상태) 및 응용 프로그램 (사용 중)에 암호화를 사용하는 것은 위에서 언급 한 세 가지 보안 수준 (기본, 고급, 중요)에 대한 명확한 요구 사항입니다. 이러한 보호 기능을 제공하는 데 필요한 기능은 다음과 같습니다.

  • NIST / FIPS에 의해 검증 된 표준에 기반한 암호화 알고리즘.
  • 비대칭 및 대칭 암호 스위트, 해싱 함수 및 난수 충분히 강력하고 PKCS (Public Key Cryptography Standards) 기반의 발전기
  • 가능한 취약성을 커버 할 수있는 암호화 알고리즘의 현장 업데이트 기능.
  • 비보안 암호화를 사용하지 않고 암호화 기능을 사용하는 응용 프로그램의 정책 기반 제어
  • 여러 공급 업체 시스템에서 암호화 키 및 인증서의 상호 운용성

Barbara Software Platform은 암호화 서비스의 품질을 보장하는 여러 기능을 구현합니다. LINUX 하드 디스크 암호화의 표준 인 LUKS가 기본적으로 사용됩니다. LUKS는 개방형이므로 쉽게 감사 할 수 있으며 PKCS를 기반으로합니다.

데이터 전송 측면에서 Barbara OS에는 암호화 된 전송 (TLS 및 DTLS)을 통해 IoT 표준 응용 프로그램 프로토콜을 사용하여 통신하는 데 필요한 라이브러리가 포함되어 있습니다.

또한 세 가지 정의 된 수준에는 안전한 종단 간 통신 스택이 필요합니다. 이 통신 스택에는 인증 지원, 보호 된 연결성, 엔드 포인트 방화벽 및 보안 전송 프로토콜 (TLS, DTLS, SSH…) 포함이 포함되어야합니다. 이러한 모든 기능은 Barbara Software Platform에 포함되어 있으므로 모든 Barbara 통신이 인증 및 암호화됩니다.

엔드 포인트 구성 및 관리

또한 운영 체제, 응용 프로그램 및 / 또는 장치의 구성을 업데이트 할 수있는 확장 가능한 시스템은 Enhanced 및 Critical 수준을 준수해야하며 동시에 수백만 개의 엔드 포인트에 대해 이러한 업데이트를 수행해야 할 수도 있습니다. 물론이 모든 작업은 업데이트를 제공하는 엔터티와 업데이트를받는 엔드 포인트 간의 인증서 기반 유효성 검사를 포함하여 안전한 환경에서 수행해야합니다.

이와 관련하여 Barbara Software Platform에는 Barbara Panel이 포함되어 있습니다. Barbara Panel은 IoT 배포의 모든 엔드 포인트를 관리하기위한 서버 측 솔루션입니다. OTA (Over The Air) 업데이트 관리, 장치 모니터링 및 구성 관리를위한 단순하고 중앙 집중식 콘솔을 제공합니다. 이러한 모든 기능은 최상의 보안 환경에서 제공됩니다.

지속적인 모니터링

IIC에 따르면 엔드 포인트의 실시간 모니터링은 중요 보안 수준의 요구 사항입니다. 이를 통해 사용자는 구성의 무단 변경을 제어 및 방지하고 응용 프로그램 수준에서 제어하여 시스템을 손상시킬 수있는 안전하지 않은 암호를 사용하여 무단 활동을 감지 및 방지 할 수 있습니다.

Barbara Panel에는 사용자가 사전 정의 된 보안 경고를 수신하고 자신의 경고를 정의하여 엔드 포인트로 푸시 할 수있는 경고 시스템이 포함되어 있습니다.

정책 및 활동 대시 보드

위험 레벨을 준수하려면 엔드 포인트를 원격으로 관리 할 수 ​​있어야합니다. 시스템 관리자는 효과적인 보안 프레임 워크 역할을하면서 네트워크를 통해 정책을 올바르게 분배 할 수있는 방식으로 정책을 적용하고 실행할 수 있어야합니다.

Barbara Panel을 사용하면 배치 관리자가 엔드 포인트 활동을 모니터하고 획득 한 정보를 기반으로 보안 정책을 정의하고 푸시 할 수 있습니다. 예를 들어, 의심스러운 통신 패턴이 감지되면 새 정책이 위에서 언급 한 방화벽에 새 규칙을 배포 할 수 있습니다.

시스템 정보 및 이벤트 관리

이전 단락과 관련하여 이벤트 로그를 캡처하고 로그 정보를 기반으로 정책을 정의 및 배포하는 기능도 중요 수준의 요구 사항입니다. 이러한 관리 작업은 데이터 모델 또는 REST API 또는 JSON과 같은 확장 가능한 형식을 사용하여 수행하는 것이 좋습니다.

Barbara Software Platform 로깅 시스템은 시스템 관리자에게 보안 정책 생성에 사용될 많은 양의 정보를 제공합니다.

결론

Barbara IoT는 안전한 제품을 만들기 위해 많은 노력을 기울이고 있습니다. 산업 보안 측면에서 가장 까다로운 시나리오에 사용할 수있는 제품입니다. IIC와 마찬가지로, 우리는 이러한 종류의 이니셔티브가 자신감을 장려하고 생태계 내의 모든 행위자에게 권한을 부여함으로써 전체 산업 생태계를 도울 수 있다고 생각합니다.

참고 문헌 :

  • http://www.iiconsortium.org/
  • IIC 엔드 포인트 보안 모범 사례; IIC : WHT : IN17 : V1.0 : PB : 20180312 Steve Hanna, Srinivas Kumar, Dean Weber.
  • https://github.com/guardianproject/luks/wiki
  • LUKS, Simone Bossi 및 Andrea Visconti 기반 전체 디스크 암호화에 대해 사용자가 알아야 할 사항 밀라노 대학교 컴퓨터 공학과 암호화 및 코딩 연구소 (CLUB) http://www.club.di.unimi.it/

이 게시물은 원래 2018 년 6 월 6 일 barbaraiot.com에 게시되었습니다. 원하는 내용이 비슷한 뉴스를 구독하려면 뉴스 레터를 구독하십시오