인더스트리 4.0 네트워크 보안을 강화하는 '데이터 다이오드'

사물 인터넷과 인더스트리 4.0 네트워크에는 안정적이고 안전한 보안 데이터 링크가 필요합니다. 그러나 오늘날 모든 네트워크는 전통적인 보안 방법으로 보호하더라도 사이버 공격에 취약합니다. 이 문제를 해결하기 위해 하드 및 소프트웨어 장치인 데이터 다이오드는 외부 세계로의 데이터 업로드만 허용하고 보안상의 이유로 역방향 데이터 다운로드를 방지합니다.

사이버 다이오드는 네트워크 보안을 위한 기존 솔루션의 기능을 확장합니다. 안전하고 안전한 네트워크의 중요성은 Bundesamt für Sicherheit in der Informationstechnik(BSI 또는 영어로 독일 연방 정보 보안 사무소)에서 수행한 사이버 공격에 대한 연구에서 입증되었습니다. 연구에 따르면 트로이 목마, 랜섬웨어, 트릭봇을 포함한 멀웨어의 수는 2019년 6월에서 2020년 5월 사이에 1,170억으로 증가했으며 멀웨어의 변형과 강도도 계속 증가하고 있습니다. 상호 연결된 산업 및 중요 인프라에서 최적의 보안에 대한 요구 사항은 매우 높으며 산업 장비 인터페이스는 부정적인 영향을 피하기 위해 완전히 보호되어야 합니다. 또 다른 중요한 점은 전송된 데이터는 기밀이어야 하고 조작할 수 없어야 한다는 것입니다.

Genua GmbH의 전략 제품 마케팅 관리자인 Steve Schoner는 EE Times Europe에 "그러나 기존 보안 솔루션을 사용하더라도 여전히 위험이 남아 있습니다."라고 말했습니다. . "사이버 다이오드로 이 격차를 좁힐 수 있습니다." 1992년에 설립된 Genua GmbH는 Bundesdruckerei(독일 연방 인쇄소)의 사업부입니다. 기밀 정보를 취급하는 민간 기관에 대한 광범위한 경험을 보유하고 있으며 모든 네트워크 및 디지털 통신 보호에 특화되어 있습니다.

IT와 OT가 점점 더 상호 연결됨에 따라 산업 네트워크의 취약한 보안은 많은 기업이 인터넷을 통해 공장을 외부 세계와 연결하는 발전을 포기하는 이유입니다. 네트워킹은 로트 크기 1까지 효율적이고 비용 효율적이며 유연한 제조를 가능하게 합니다. 또한 이를 통해 기계와 시스템을 모니터링하고 최적화할 수 있습니다(예:예측 유지 관리 및 분석용). 그러나 인터넷 연결과 함께 인더스트리 4.0 네트워크는 사이버 범죄자에 의한 방해 공작 및 스파이의 표적이 되고 있습니다.

최대화된 사이버 보안

Schoner는 "사이버 보안을 위한 기존 솔루션은 독점적이거나 매우 비싸기 때문에 안전하고 신뢰할 수 있는 제조업체 및 플랫폼 독립적인 통신을 보장하는 산업용 사이버 다이오드를 개발했습니다."라고 설명했습니다. "인증된 기밀 제품을 기반으로 하는 세계 유일의 데이터 다이오드입니다." 산업 환경에서의 안전한 데이터 전송을 위해 머신 데이터 교환을 위한 개방형 표준인 OPC UA 프로토콜(OPC Unified Architecture)을 지원합니다. 또한 IPSec VPN을 통해 클라이언트 응용 프로그램으로 데이터를 암호화하여 전송할 수 있습니다. IPSec이 활성화되면 외부 클라이언트는 암호화된 통신을 통해서만 다이오드와 통신할 수 있습니다. 이것은 다이오드 내부 방화벽에 의해 보장되며 클라우드 또는 기타 외부 위치에서 원하는 서비스로 매우 안전한 데이터 전송을 가능하게 합니다.

사이버 다이오드 세부정보

사이버 다이오드 하드웨어는 구획 분리를 위한 IOMMU(I/O 메모리 관리 장치)를 사용하여 안전합니다. 기능 블록 다이어그램의 검은색 구획(왼쪽)은 이 경우 OPC UA 클라이언트인 송신기를 나타냅니다. 중앙에서 특허 받은 One-Way-Task는 단방향 데이터 전송 기능을 나타냅니다. 빨간색 구획(오른쪽)은 NIC(네트워크 인터페이스)를 통해 VPN 보안 데이터를 외부 대상 시스템으로 전송하는 VPN 준비 측면입니다. 추가 업데이트 구획(상단)을 통해 보안상의 이유로 네트워크에서 허용하지 않는 새로운 기능이나 업그레이드를 통합할 수 있습니다. 업데이트는 장치 자체에만 업로드할 수 있습니다. 네트워크 설정을 통해 기본 구성을 변경할 수 없습니다. 하드웨어는 공간 절약형 DIN 레일 또는 19랙 하우징에 적합하며 UEFI 및 보안 부팅 지원을 제공합니다. 사이버 다이오드는 LTE(Mobile Telephony)와 WLAN을 통한 연결을 위해 확장될 수 있다고 회사는 말했다.

사이버 다이오드의 블록 다이어그램(이미지 출처:Genua)

소프트웨어의 핵심은 최소한의 강화된 마이크로커널과 강화된 OpenBSD 운영 체제를 기반으로 합니다. 둘 다 몇 줄의 코드만 포함하고 있어 해커와 공격 벡터의 진입점을 최소화합니다. Schoner는 "이러한 아키텍처는 공격하기가 극히 어렵습니다. 운영 체제의 취약성조차도 특허 받은 단방향 기능에 영향을 미치지 않습니다. Genua에서 제공하는 소프트웨어만 사이버 다이오드에서 실행할 수 있습니다. Schoner는 "이는 비용 효율적이며 하나의 시스템에 대한 하드웨어와 전체 소프트웨어를 포함하는 평생 라이선스로 사용할 수 있습니다."라고 말했습니다. 핫라인 서비스 또는 완전한 시스템 관리 서비스도 보장됩니다. 네트워크에 필요한 사이버 다이오드의 양은 사용자의 위험 요구 사항과 네트워크 구조에 따라 다릅니다.

보안 기능 개선

에어 갭, 방화벽 및 광섬유와 같은 사이버 보안을 위한 기존 방법과 비교할 때 사이버 다이오드는 다양한 이점을 제공한다고 Schoner는 주장했습니다. 예를 들어 에어 갭은 자동화된 데이터 교환을 피하여 보안을 보장하는 OT 네트워크에서 IT를 분리합니다. 그러나 인더스트리 4.0에서는 어쨌든 서로 다른 네트워크 간에 환경 데이터를 교환해야 합니다. 이 경우 데이터 전송은 일반적으로 USB 스틱 또는 기타 메모리 장치를 통해 이루어지므로 효율적이지 않고 오류가 발생하기 쉽습니다. USB 스틱 및 기타 메모리 장치에 악성 코드가 포함될 수 있습니다.

대안은 한 방향으로만 데이터를 전송하도록 구성할 수 있는 방화벽입니다. 이것은 해결책이 될 수 있지만 거의 모든 방화벽이 하나 이상의 규칙 집합을 제공하기 때문에 매우 복잡합니다. 이것은 또한 이러한 규칙 세트를 우연히 변경하거나 수년에 걸쳐 쓸모 없게 될 수 있음을 의미합니다. 이것은 새로운 네트워크 세그먼트를 연결하는 것을 복잡하게 하거나 그렇게 하려면 최소한 많은 지식이 필요합니다. 단방향 기능이 비활성화될 수 있습니다.

이러한 위험은 사이버 다이오드에서 제외됩니다. 세 번째 기존 옵션인 파이버 다이오드는 역방향으로 데이터를 차단할 수 있지만 데이터 전송이 성공했는지 확인하려면 별도의 채널이 필요합니다. 신뢰할 수 있는 데이터 전송을 증가시키기 위해 사이버 다이오드는 1비트만 되돌려 보내 성공적인 데이터 전송을 확인합니다. 마지막으로, 사이버 다이오드는 기존 산업 네트워크에 쉽게 통합될 수 있습니다.

>> 이 기사는 원래 자매 사이트인 EE에 게시되었습니다. 타임즈 유럽.