Unpacking IoT, 시리즈:보안 문제와 이에 대해 할 수 있는 일

네트워크 엔지니어는 사물 인터넷(IoT) 이니셔티브를 배포할 때 여러 가지 문제에 직면합니다. 다음 몇 주에 걸쳐 Cisco IoT 블로그로 돌아와 3가지 IoT 과제와 이를 극복하기 위한 모범 사례에 대해 알아보세요.

먼저 IoT의 가장 큰 도전 과제는 보안입니다. .

IoT 보안 위협은 기존 IT 환경의 보안 위협과 크게 다릅니다. 기존 IT에서는 보안 문제가 가장 먼저 데이터 보호에 중점을 둡니다. 공격자는 데이터를 훔치고 데이터를 손상시키고 몸값을 보유할 수 있습니다. 최근에는 악의적인 크립토마이닝 활동을 위해 컴퓨팅 성능을 훔치는 데에도 관심이 있습니다.

이러한 보안 문제는 IoT에 존재하지만 더 나아가 데이터를 넘어 물리적 세계로 확장됩니다. 최소한 IoT 보안 사고는 사람을 불편하게 하거나 운영을 방해하여 몇 시간 내에 수백만 달러의 피해를 입힐 수 있습니다. 최악의 경우 이러한 공격은 물리적 프로세스를 제어하는 ​​시스템을 손상시키고 생명을 위험에 빠뜨릴 수도 있습니다. 다음 예를 고려하십시오.

이러한 사건은 IoT 시나리오에서 보안이 얼마나 중요하고도 어려운지를 보여줍니다.

IoT 보안 위협 방지 및 억제

위의 예에서 보안 침해는 네트워크 보안 모범 사례인 세분화를 사용하여 완전히 방지하거나 최소한 크게 억제할 수 있었습니다. 세분화는 보안을 위해 배포하는 가장 효과적인 네트워크 설계 원칙 중 하나입니다. 보편적으로 인정되는 네트워킹 공리입니다. 그렇다면 조직에서 네트워크를 완전히 분할하지 않는 이유는 무엇입니까?

답:복잡합니다.

비용을 줄이기 위해 조직은 데이터, 음성 및 비디오 네트워크를 공유된 물리적 인프라에 통합했습니다. 최근에는 동일한 IP 네트워크에 IoT 장치도 추가되었습니다. 그러나 보안 및 관리 목적을 위해 이러한 서비스를 논리적으로 분리해야 합니다. 이를 위해 네트워크 엔지니어는 일반적으로 VLAN을 사용하여 네트워크를 분할합니다. 이 프로세스에는 여러 단계, 접점, 정책 및 사용자 인터페이스가 필요합니다. 상위 수준에서 네트워크 엔지니어는 Active Directory에 그룹을 만들고 정책을 정의하고 VLAN/서브넷을 실행하고 정책을 구현해야 합니다.

세분화의 복잡한 특성은 작업을 지루하게 만들 뿐만 아니라 인적 오류의 위험도 증가시킵니다. 예를 들어, 네트워크 장치의 ACL(액세스 제어 목록)은 종종 수만 줄 길이입니다. 항목의 각 줄에 대해 제대로 문서화되지 않은 이유 때문에 관리하고 이해하기 어렵습니다. 한 장치에서 다른 장치로 ACL에 한 가지 불일치가 있는 경우 잠재적인 취약성과 악용될 수 있는 공격 벡터가 있습니다.

IoT에 Cisco 보안 구현

네트워크 분할이 네트워크 자산을 보호하는 데 중요한 역할을 한다는 점을 감안할 때 네트워크 관리자가 네트워크를 효율적이고 효과적으로 분할할 수 있는 것이 중요합니다. Cisco에서는 기업 네트워크에 인텐트 기반 네트워킹을 적용하여 세분화를 단순화합니다. 의도 기반 네트워킹의 이러한 특정 표현을 SDA(소프트웨어 정의 액세스)라고 합니다.

소프트웨어 정의 액세스를 사용하면 네트워크 관리자가 액세스 제어 목록 또는 그룹 정책 언어를 사용하여 서로 통신할 수 있는 네트워크 장치를 식별할 필요가 없습니다. 몇 번의 간단한 클릭과 마우스 드래그 앤 드롭으로 네트워크 관리자는 음성, 데이터, 게스트 액세스 무선, BYOD, IoT 등을 위한 별도의 가상 네트워크를 설정할 수 있습니다. 올해 우리는 이러한 기능을 IoT 에지로 확장하여 주차장, 유통 센터, 제조 시설, 공항, 항구 등을 카펫이 깔린 기업, 즉 Cisco와 같은 단일 창에서 모두 관리할 수 있도록 했습니다. DNA 센터.

네트워크 관리자는 중앙 집중식 관리 대시보드인 Cisco DNA Center를 사용하여 기업 전체에 네트워크를 프로비저닝하고 한 가상 네트워크에 할당된 장치가 다른 가상 네트워크의 장치와 통신할 수 없도록 할 수 있습니다. 실제로 한 가상 네트워크의 장치는 다른 가상 네트워크도 볼 수 없습니다. 그들이 관련된 한 가상 네트워크는 존재하거나 존재한 유일한 네트워크입니다. 즉, IoT 가상 네트워크에 할당된 IoT 장치는 동일한 가상 네트워크에 할당된 다른 장치와만 통신할 수 있으며 다른 사람은 통신할 수 없습니다. 이러한 논리적 분리를 매크로 분할이라고 합니다.

그러나 SDA는 네트워크 관리자에게 훨씬 더 세분화된 정책 옵션을 제공합니다.

매크로 분할에서 가상 네트워크 내의 모든 장치는 기본적으로 동일한 가상 네트워크의 다른 장치와 통신할 수 있습니다. 따라서 비디오 카메라, 온도 센서 및 배지 판독기가 모두 단일 "IoT 가상 네트워크"에 할당된 경우 이러한 장치는 기본적으로 서로 통신할 수 있습니다. 이러한 통신은 보안 문제를 일으킬 수 있습니다. 단일 장치가 손상된 경우 공격자는 해당 장치를 사용하여 조직에 추가 발판을 제공할 수 있는 다른 장치에 대해 네트워크를 검색합니다(이 작업이 수행되는 방식 보기). 마이크로 세분화가 필요한 이유입니다.

Cisco DNA Center에서 네트워크 관리자는 동일한 가상 네트워크 내 다른 장치와 통신할 수 있는 장치를 정의하는 마이크로 세분화 정책을 쉽게 생성할 수 있습니다. . (DNA-C가 포함된 Cisco Extended Enterprise 데모 보기) 관리자는 또한 이러한 장치가 잠재적인 보안 공격을 나타낼 수 있는 승인되지 않은 장치와 통신을 시도하는 경우 경고를 보내도록 정책을 구성할 수 있습니다. 위의 예에서 비디오 카메라는 다른 비디오 카메라와만 대화하도록 구성할 수 있으며 온도 센서 또는 배지 판독기와 대화를 시도하면 경고가 발행됩니다.

SDA를 사용하여 거시적 및 미시적 수준 모두에서 네트워크를 분할하는 기능은 보안 침해를 방지하고 억제하는 훌륭한 솔루션입니다. 엔터프라이즈 네트워크의 요구 사항을 충족하도록 쉽게 확장할 수 있으며 이제 Cisco 고객은 이러한 동일한 개념을 IoT 네트워크에 적용할 수 있습니다. 또한 기업 네트워크에 사용하는 것과 동일한 관리 인터페이스를 사용하여 효율적이고 효과적으로 작업을 수행할 수 있습니다. 더 알고 싶으십니까? 주문형 웨비나인 Cisco IoT:공공 안전, 석유 및 가스, 제조 부문의 혁신을 주도하십시오. 또한 Cisco IoT 블로그에서 엔터프라이즈 IoT가 직면한 다른 주요 과제를 확인하는 것을 잊지 마십시오.