RTI Connext DDS Secure 이해
Connext DDS Secure 제품은 전례 없는 관심을 불러일으키고 있습니다. 제품에 대한 수요와 호기심이 그렇게 많은 경우는 거의 없습니다. 제품이 아직 베타 버전이지만 고객이 최대한 빨리 배송할 계획이기 때문에 특히 이례적인 일입니다. 가장 일반적인 몇 가지 질문에 답할 수 있을 거라 생각했습니다.
첫째, 새로운 DDS 보안 표준은 보안 아키텍처와 모델을 지정합니다. 베타 표준은 OMG에서 3월에 채택했습니다. 우리는 (RTI) 최종 위원회 의장입니다. 내년에 최종이어야 합니다. RTI는 새로운 표준을 처음으로 지원합니다. 다른 DDS 공급업체도 이를 구현할 것이라고 확신하지만 아직 아무도 제품을 갖고 있지 않습니다.
DDS 보안은 여러 가지 이유로 미들웨어 영역에서 고유합니다. 첫째, 다른 표준보다 더 완벽하게 보안을 다룹니다. 사양은 인증, 액세스 제어, 기밀성, 무결성, 부인 방지 및 로깅을 다룹니다. 둘째, "플러그인" 디자인입니다. 사양은 표준 플러그인 구성 요소 집합과 상호 운용 가능한 와이어 사양을 정의합니다. 그러나 플러그인에 대한 고유한 알고리즘을 정의할 수 있습니다. 마지막으로 노드나 연결이 아닌 DDS "주제"를 보호합니다. 따라서 세밀한 제어를 제공하고 고유한 산업용 사물 인터넷(IIoT) 요구 사항에 적응할 수 있습니다. 사람 또는 서버 중심 아키텍처가 아닌 IIoT 장치 대 장치 및 장치 대 클라우드 네트워크를 대상으로 하는 최초의 보안 표준입니다.
예시를 보면 이를 더 명확하게 알 수 있습니다. 이 (매우) 간단한 시스템을 고려하십시오.
DDS 보안
여기서 "PMU"는 센서(전력 제어에서 흔히 사용되는 위상 측정 단위)를 나타냅니다. "CBM"(상태 기반 유지 관리) 분석 구성 요소는 시스템을 모니터링하고 시스템 상태 문제를 찾고 있습니다. 이 시스템의 간단한 작동:PMU 센서가 상태를 기록하고 제어 장치가 해당 상태를 읽고 설정점을 기록합니다. CBM은 상태를 읽고 경보를 씁니다. 운영자는 시스템을 모니터링할 수 있습니다.
DDS에서 이 시스템은 주제 간의 데이터 흐름으로 쉽게 설정됩니다. 물론 DDS는 데이터 속도, 안정성 요구 사항 등을 지정합니다.
Connext DDS Secure로 이 시스템을 보호하려면 다음을 전달하는 구성 파일을 생성합니다.
PMU:State(w)CBM:State(r); 알람(w) 제어:상태(r), 설정점(w) 연산자:*(r), 설정점(w)
간단히 말하면 PMU는 State만 쓸 수 있습니다. 컨트롤은 상태를 읽고 SetPoint를 쓸 수만 있습니다. CBM은 상태를 읽고 알람을 설정할 수만 있습니다. 그리고 오퍼레이터는 무엇이든 읽고 SetPoint를 쓸 수 있습니다(아마도 시스템을 끄기 위해). Connext DDS Secure는 이러한 매우 논리적인 시스템 제약 조건을 직접 적용합니다.
개념적으로 간단합니다. 물론 여전히 인증서와 구성 파일을 배포해야 합니다. 그러나 이 "주제 기반" 보안은 프로토콜 잠금, 노드 격리 또는 사용자 역할에 따른 액세스 제한을 기반으로 하는 설계보다 IIoT 시스템에 훨씬 더 직관적입니다. Connext DDS Secure는 데이터 흐름 자체에 직접적이고 간단하게 작동합니다.
중요하게도 Connext DDS Secure 제품에는 애플리케이션 코드 변경이 필요하지 않습니다. 당신은 그것을 구성하고 이동합니다. Connext DDS Secure는 기존 시스템에 대한 실용적이고 직관적인 보호 기능을 제공합니다.
물론 완벽한 보안은 없습니다. 따라서 대부분의 실제 보안 시스템은 보호(나쁜 것을 차단)와 탐지(위반 찾기 및 격리)를 결합합니다. 예를 들어 이것이 랩톱에 방화벽(보호)과 바이러스 스캐너(탐지)가 모두 있는 이유입니다. 보호와 탐지를 함께 사용하면 훨씬 더 안전한 시스템을 제공할 수 있습니다.
DDS는 소프트웨어 "DataBus"이기도 하므로 쉽게 모니터링할 수 있습니다. 우리는 이를 PNNL과 함께 사용하여 전력망에 대한 "개조" 보안 테스트를 구현하고 기존 DNP3 라인을 안전한 DDS 라인으로 교체하여 보호를 구현했습니다. DataBus 트래픽과 메타 트래픽 흐름을 활용하여 스크립팅 기능을 추가할 수 있습니다(우리는 매끄러운 Lua 구성 요소가 있음). 그러면 간단한 스크립트가 손상된 시스템, 메시지 가로채기 공격 등을 포함한 많은 잠재적 공격을 탐지할 수 있습니다.
Connext DDS로 안전한 산업 제어 시스템 구축 »
따라서 DDS를 사용하면 보호(표준)와 탐지(DataBus를 통해)를 결합할 수 있습니다. 둘 다 비교적 구현하기 쉽습니다.
저희 제품은 현재 얼리 액세스 릴리스입니다. 그러나 이미 화재 테스트를 받고 있습니다. 다음은 매우 광범위한 테스트 활동입니다.
USS SECURE 사이버 보안 테스트 베드는 국가 안보국, 국방부 정보 보증 범위 Quantico, 전투 시스템 방향 활동 Dam Neck, NSWCDD, NSWC Carderock/Philadelphia, Johns Hopkins University Applied Physics의 해군 연구실 간의 협력입니다. Lab, Real Time Innovations Inc. USS SECURE의 테스트 베드는 실시간 마감 예정된 성능 요구 사항에 영향을 주지 않고 해군 전투원을 확보하기 위한 사이버 방어 기술의 최상의 조합을 결정합니다. 보시다시피, 우리의 보안 제품은 까다로운 고객을 기대합니다. 우리는 명백한 이유로 이러한 테스트에 대해 많이 말할 수 없습니다. 그러나 저는 Connext DDS Secure 제품이 매우 자랑스럽습니다. 이 사이트와 다른 많은 사이트에서 매우 효과적인 것으로 입증되었습니다.
RTI Connext DDS Secure는 내년에 일반 공급될 예정입니다. 질문이 있으시면 지역 담당자에게 문의하십시오...