포그 컴퓨팅을 위한 최상의 보안 사례

몇 년 동안 Cisco는 확장 가능하고 안정적이며 비용 효율적인 IoT 아키텍처의 필수 요소로서 Fog Computing을 옹호해 왔습니다. Cisco IOx를 기반으로 하는 산업용 IoT 솔루션을 개발하면 "사물"에서 발생하는 데이터를 OT 인프라의 에지에 배치된 IIoT 라우터 및 스위치에서 로컬로 필터링, 분석 및 조작할 수 있습니다. 에지에서 데이터를 처리하려면 Fog Computing 환경 내에서 보안 및 개인 정보 보호 모범 사례를 개발해야 합니다. Cisco IOx 장치를 통해 전송되는 데이터를 보호할 뿐만 아니라 수백에서 수천 개의 IIoT 장치에서 잠재적으로 실행되는 Fog Computing 데이터 및 애플리케이션을 보호하는 것입니다.

보안은 단일 기능, 메커니즘 또는 프로토콜이 아닙니다. 집을 지을 때처럼 튼튼한 기초가 필요한 다층 구조입니다. Fog Computing 롤아웃의 각 단계(그림 1 참조)를 통해 Cisco IOS 네트워크 서비스와 IOx 컴퓨팅 모두에 대한 최상의 보안 사례를 결합하여 토대를 구축합니다.

다음 4가지 보안 기둥을 기반으로 이러한 기반을 마련하면 IT 및 운영 관리자가 데이터 무결성을 보장하는 데 도움이 될 수 있습니다.

Cisco IOx 보안 기반

<강한> 액세스 제어

Fog Computing 환경에서 애플리케이션의 배포 및 관리는 롤 기반 사용자 인증을 요구할 수 있으므로 네트워크 관리자와 애플리케이션 관리자가 각각의 작업을 별도로 수행할 수 있습니다.

<울>

Fog Director 또는 IOx Local Manager를 통해 IOx 응용 프로그램 관리 작업을 수행하는 응용 프로그램 관리자 인증(예:응용 프로그램의 설치/업그레이드, 시작/중지, 유효성 검사 및 모니터링)은 Enterprise Radius 서버를 통해 확인할 수 있으므로 로그인 액세스를 제한하여 무단 사용자.

권한 있는 IOS 네트워크 관리자는 " 로그인이나 위치가 아닌 역할'

<강한> 무결성

Cisco Industrial IOT 장치의 하드웨어 및 소프트웨어 무결성은 [강화]에서 논의되었지만 Fog Computing 환경은 IOx 플랫폼 보안의 견고성을 보장하기 위해 다음과 같은 추가 기능이 필요합니다.

<울>

Cisco IOS 또는 컴퓨팅 모듈 이미지와 번들로 제공되는 디지털 서명된 게스트 OS 소프트웨어와 Cisco ACT2 칩셋의 TAM(Trust Anchor Module) 기능을 활용하여 운영 체제의 무결성을 보장합니다.

IOx 컨테이너 애플리케이션, PaaS(Platform as a Service), Linux 컨테이너 또는 가상 머신(CGR 1000 Compute 모듈만 해당)을 구축할 때 Docker 도구 체인을 활용하여 Docker로 배포된 애플리케이션을 격리하고 리소스와 애플리케이션을 보호합니다.

응용 프로그램 서명 유효성 검사는 응용 프로그램을 배포할 때 소스의 ID를 확인합니다. RSA 개인 키(PEM 형식)를 기반으로 하는 트러스트 앵커를 활용하여 서명된 애플리케이션 패키지에 포함된 패키지 및 x509 클라이언트 인증서(PEM 형식)에 서명할 수 있습니다. 서명된 애플리케이션의 설치를 의무화하는 것은 제어되지 않는 코드를 피하기 위해 모든 IOx 도구(IOxclient, IOx Local Manager 및 Fog Director)를 통해 관리됩니다.

OAuth API를 통해 위임된 액세스를 보호하고 애플리케이션이 사용자 이름이나 비밀번호에 액세스하지 않고도 사용자를 대신하여 API에 대한 액세스를 인증합니다.

플러그 가능한 인증 모듈(PAM) 메커니즘을 통해 개발자는 높은 수준의 API(응용 프로그래밍 인터페이스)를 통해 여러 낮은 수준의 인증 체계를 활용할 수 있습니다.

<강한> 데이터 기밀 및 개인정보 보호

포그 노드는 데이터를 새 IR829M의 임베디드 플래시 또는 mSATA SSD 드라이브에 로컬로 저장해야 하는 애플리케이션을 실행할 수 있습니다. 최근 IOx 릴리스에는 인증서, 키 및 사용자 데이터를 장치에 안전하게 저장하는 SSS(Secure Storage Services) 기능이 추가되었습니다. 사용자와 애플리케이션은 REST 기반 API를 통해 호스트에서 실행되는 SSS 서비스에 액세스할 수 있으며, 이를 통해 애플리케이션은 데이터 암호화를 수행할 수 있습니다. 또한 애플리케이션 개발은 추가 보호를 위해 잘 알려진 Linux 서비스(Cgroup, SMACK, SELinux, 네임스페이스 기능 등)의 이점을 얻을 수 있습니다.

데이터 보호가 필수일 뿐만 아니라 IOx 제어 명령(예:시작/중지, 응용 프로그램 설치/제거)은 SSL/TLS를 통해 달성되는 기밀성을 요구합니다. 이는 IOx 장치로 푸시되는 모든 파일의 네트워크 파일 전송을 포함하여 Fog 장치와 관리 서비스 간의 트래픽 보호를 보장합니다. 또한 Cisco IOS 네트워크 서비스 구성(예:IPsec VPN, VRF, VLAN 등)을 활용하는 모범 사례를 통해 데이터 트래픽을 보호 및/또는 격리하는 것이 좋습니다.

위협 감지 및 완화

IOx 애플리케이션을 통한 분산 네트워크 트래픽 분석은 Fog 컴퓨팅의 또 다른 측면입니다. 예를 들어 [Sentryo]와 같은 파트너는 IE 4000 시리즈의 포트 미러링 또는 IR800 시리즈의 IP 트래픽 내보내기와 같은 기능을 활용하여 트래픽 분석 소프트웨어 에이전트를 제공하고 Cisco IOx 장치를 통해 수신 및 전송된 트래픽 흐름을 분석합니다.

Operations Manager는 애플리케이션 동작의 잠재적인 이상을 감지하고 추가 분석 및 용량 계획을 위해 측정치를 기록해야 합니다. Cisco IOx Local Manager 및 Fog Director 도구 또는 API를 사용하면 IOx 애플리케이션 프로파일링이 소비된 컴퓨팅 리소스를 추적할 수 있습니다. DNA-C, IoT FND 또는 Kinetic의 GMM에서 수행된 가장 최근 개발에서 제공하는 Cisco IOx 장치 프로비저닝 및 관리의 자동화로 보완되어 IOx 장치 전반에 걸쳐 보안 정책을 유지하면서 확장할 수 있습니다.

귀하의 조직이 직면하고 있는 다른 보안 문제를 알려주고 6월 10일 ^th 부터 Cisco Live Orlando World of Solutions 및 IOx Devnet Zone에서 저희를 방문하십시오. – 14 , 2018년 모든 보안 문제를 논의합니다!