기능 4. 데이터 보호 및 거버넌스 제공

이 기능은 AWS IoT에 대한 SRA 모범 사례의 모범 사례 8을 지원합니다.

기능 4는 엣지 디바이스부터 클라우드 스토리지 및 처리 시스템에 이르기까지 전체 수명 주기 동안 IoT 및 IIoT 데이터를 보호해야 하는 중요한 요구 사항을 해결합니다. 여기에는 저장된 데이터와 전송 중인 데이터 모두에 대한 강력한 암호화 메커니즘과 철저한 데이터 거버넌스 관행이 포함됩니다.

이론적 근거

산업 시스템은 독점 제조 프로세스, 장비 성능 데이터, 중요한 운영 원격 측정을 포함하여 방대한 양의 민감한 정보를 생성, 처리 및 저장할 수 있습니다. 이 데이터에 대한 무단 액세스 또는 조작은 지적 재산 도용부터 운영 중단 및 안전 인시던트에 이르기까지 상당한 결과를 초래할 수 있습니다. 강력한 암호화 및 데이터 거버넌스 관행을 구현하면 이러한 위험을 직접 해결할 수 있습니다. 중요한 정보 자산을 보호하고 산업 운영의 연속성을 보장하는 데 도움이 됩니다.

보안 고려 사항

강력한 데이터 보호 및 거버넌스 조치를 구현하면 IoT, IIoT 및 OT 환경의 여러 보안 위험을 해결할 수 있습니다. 주요 문제로는 IoT 디바이스 및 엣지 게이트웨이에 저장된 민감한 데이터에 대한 무단 액세스, 디바이스와 클라우드 시스템 간 전송 중 데이터 가로채기가 있습니다.

문제 해결

데이터 보호

저장 데이터 암호화: 센서 또는 카메라와 같이 배포된 디바이스에 저장된 정보는 무해해해 보일 수 있지만, 디바이스의 물리적 제어가 보장되지 않으면 해당 정보가 승인되지 않은 액터의 대상이 될 수 있습니다. 예를 들어 소비자 카메라의 캐시된 비디오, 산업 애플리케이션의 독점 기계 학습(ML) 모델, 운영 환경의 구성 데이터가 있습니다. 배포된 디바이스의 경우 가능하면 유휴 상태로 저장된 모든 데이터를 암호화하는 것이 가장 좋습니다. 여기에는 다음이 포함됩니다.

• 디바이스 스토리지: 하드웨어 기반 암호화(사용 가능한 경우) 또는 강력한 소프트웨어 암호화를 사용하여 IoT 디바이스의 로컬 스토리지를 암호화합니다.

• 엣지 게이트웨이: 엣지 게이트웨이 및 로컬 서버에서 전체 디스크 암호화를 구현합니다.

• 클라우드 스토리지: AWS SRA의 애플리케이션 계정의 AWS KMS 섹션에 설명된 대로 클라우드에 저장된 데이터에 대한 사용 AWS관리형 암호화 서비스입니다.

디바이스에 저장된 정보를 지우기 위한 메커니즘을 구현합니다. 디바이스를 용도 변경 또는 판매하고 소유권을 변경할 때 필요할 수 있습니다.

전송 중 데이터 암호화: 센서 및 디바이스, 관리, 프로비저닝 및 배포 데이터를 포함하여 전송 중인 모든 데이터를 암호화합니다. 거의 모든 최신 IoT 디바이스에는 네트워크 트래픽의 암호화를 수행할 수 있는 용량이 있으므로 이러한 기능을 활용하고 데이터 영역과 컨트롤 플레인 통신을 모두 보호합니다. 이 방법은 데이터의 기밀성과 모니터링 신호의 무결성을 모두 보장하는 데 도움이 됩니다. 암호화할 수 없는 프로토콜의 경우 IoT 자산에 더 가까운 엣지 디바이스가 통신을 수락하고 로컬 경계 외부로 전송하기 전에 보안 프로토콜로 변환할 수 있는지 고려합니다.

주요 사례는 다음과 같습니다.

• 모든 MQTT 및 HTTP 통신에 TLS를 사용합니다(즉, MQTTS 및 HTTPS 사용). 보안 통신은 AWS 백본으로 제한되었는지 여부에 관계없이 네트워크 패킷 라우팅 경로에 관계없이 권장됩니다.

• 엣지를 포함한 IoT 메시징용 보안 MQTT를 구현합니다.

• 온프레미스 구성 요소와 간의 보안 통신을 AWS Direct Connect 위해 AWS Site-to-Site VPN AWS PrivateLink및를 사용합니다 AWS. 이러한 서비스는 인터넷에 액세스할 수 있는 API 엔드포인트에 비해 예측 가능한 네트워크 라우팅 또는 패킷 캡슐화를 제공합니다.