Cisco와 Rockwell Automation의 목표는 CPwE를 사용하여 공장 장비, IT 솔루션, 클라우드 솔루션 및 직원을 연결하는 것뿐만이 아니라,
이러한 연결을 통해 조직이 더 많은 것을 달성할 수 있도록 지원하면서 조직의 안전을 지키는 것입니다.
산업용 장치를 이더넷 네트워크에 추가하면 일반 사이버 범죄자부터 국가 및 테러리스트에 이르기까지 사이버 위협이 이들에 액세스하여 제어할 수 있는 진입점을 제공하게 됩니다.
이후에는 그 가능성이 무섭고도 다양합니다.
이러한 위험으로부터 산업용 장치를 보호하려면 네트워크 활동을 명확하게 파악하고 네트워크를 개별 부분으로 분할할 수 있는 기능이 필요합니다.
IT,OT 네트워크에서 발생하는 상황에 대한 정확한 파악이 없으면 보안 팀은 공격을 식별하거나 액세스를 관리하기 위한 효과적인 정책을 수립할 수 없습니다.
문제는 많은 일반 IT 네트워크 모니터링 툴이 필요한 가시성을 제공하지 못한다는 것입니다. 그 이유는 산업 자산이 툴이 지원하도록 설계되지 않은 IACS 프로토콜을 사용하기 때문입니다.
고객이 보다 포괄적인 공장 보기를 활성화할 수 있도록 Cisco와 Rockwell은 핵심 IT 프로토콜과 Common Industrial Protocol(CIP)을 모두 지원하는 공동 IT,OT 모니터링 툴을 제공합니다.
사이버 범죄자들은 가장 취약한 지점을 찾아 이를 악용하여 IACS 네트워크에 침투합니다.
이를 해결하기 위해 네트워크 세분화는 네트워크를 더 작은 구역으로 나누고 그 사이에 엄격하게 제어되는 데이터 흐름을 설정합니다. 트래픽(및 공격자 또는 맬웨어)은 허가 없이 한 구역에서 다른 구역으로 이동할 수 없습니다.
산업 고객의 경우 일반적인 세분화 방법은 산업 비무장 지대를 통해 기업 구역에서 산업 구역을 세분화하는 것입니다. 그런 다음 OT,IT 팀은 액세스 제어 목록(ACL)을 통해 각 구역에 대한 액세스를 정의하기 위해 협력합니다.
그러나 ACL을 수동으로 관리하는 것은 지루할 수 있습니다. 그리고 큰 목록은 네트워크 장비의 성능에 영향을 줄 수 있습니다.
따라서 세분화를 더 간단하고 유연하게 만들기 위해 보안 그룹을 사용하여 액세스 정책을 정의할 수 있습니다. 사전 정의된 그룹 태그는 위치, 목적, 사용자 의도 등을 기준으로 자산에 자동으로 적용될 수 있습니다.
산업 조직은 파트너와 모바일 작업자를 위한 안전한 액세스를 제공해야 하는 경우가 점점 더 많아지고 있습니다.
Cisco Identity Services Engine(ISE)를 사용하면 IT 부서에서 직원과 신뢰할 수 있는 파트너의 역할을 정의할 수 있습니다. 이러한 역할은 산업 및 기업 네트워크 내 자산에 대한 액세스를 허용하고 제한하도록 구성할 수 있습니다.
또한 Cisco ISE는 공장 직원, 공급업체, 파트너 및 게스트가 새로운 장치를 자동으로 등록하고 프로비저닝할 수 있는 셀프 서비스 등록 포털을 제공합니다.
단일 제품, 기술 또는 방법론으로는 공장 전체 아키텍처를 완전히 보호할 수 없다는 점을 명심해야 합니다. 가시성과 세분화는 중요하지만, 이는 더 큰 전략의 두 가지 부분에 불과합니다.
IACS 자산을 보호하려면 내부 및 외부 보안 위협을 해결하는 포괄적인 심층 방어 보안 접근 방식이 필요합니다.
Cisco 및 Rockwell은 이러한 접근 방식을 실현하고 운영을 안전하게 유지할 수 있도록 최선을 다하고 있습니다. CPwE 보안 과제에 대해 곧 이야기해 보겠습니다.
Published 2019년 7월 5일
추천 제품