기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
기능 1. 보안 엣지 컴퓨팅 및 연결 제공
이 기능은 AWS IoT에 대한 SRA 모범 사례의 모범 사례 3, 4 및 5를 지원합니다.
AWS 공동 책임 모델은
이론적 근거
산업 운영이 클라우드 기술을 점점 더 많이 채택함에 따라 기존 OT 시스템과 최신 IT 인프라 간의 격차를 해소해야 할 필요성이 커지고 있습니다. 이 기능은 엣지에서 안전하고 지연 시간이 짧은 처리의 필요성을 해결하는 동시에 AWS 클라우드 리소스에 대한 강력한 연결을 보장합니다. 엣지 게이트웨이와 보안 연결 방법을 구현하면 조직은 클라우드 서비스의 확장성과 고급 분석 기능을 활용하는 동시에 중요한 산업 프로세스에 필요한 성능과 신뢰성을 유지할 수 있습니다.
또한이 기능은 IIoT 및 OT 환경에서 강력한 보안 태세를 유지하는 데 필수적입니다. OT 시스템에는 기본 제공 보안 기능이 부족하고 사이버 위협에 취약해질 수 있는 레거시 디바이스 및 프로토콜이 포함되는 경우가 많습니다. 조직은 보안 엣지 컴퓨팅 및 연결 솔루션을 통합하여 데이터 소스에 더 가까운 네트워크 세분화, 프로토콜 변환, 보안 터널링과 같은 중요한 보안 조치를 구현할 수 있습니다. 이 접근 방식은 민감한 산업 데이터 및 시스템을 보호하는 데 도움이 되며 산업별 보안 표준 및 규정을 준수할 수 있습니다. 또한 엣지 디바이스를 안전하게 관리하고 업데이트하기 위한 프레임워크를 제공하여 IIoT 및 OT 배포의 전반적인 보안과 신뢰성을 더욱 향상시킵니다.
보안 고려 사항
IoT, IIoT 및 OT 솔루션에서 보안 엣지 컴퓨팅 및 연결을 구현하면 다면적인 위험 환경이 제공됩니다. 주요 위협으로는 IT 시스템과 OT 시스템 간의 부적절한 네트워크 세분화, 레거시 산업 프로토콜의 보안 약점, 리소스가 제한된 엣지 디바이스의 고유한 제한 등이 있습니다. 이러한 요인은 위협 전파를 위한 잠재적 진입점과 경로를 생성합니다. 엣지 디바이스와 클라우드 서비스 간에 민감한 산업 데이터를 전송하면 가로채기 및 조작 위험이 발생할 수 있으며, 안전하지 않은 클라우드 연결은 시스템을 인터넷 기반 위협에 노출시킬 수 있습니다. 추가 우려 사항에는 산업 네트워크 내에서의 측면 이동 가능성, 엣지 디바이스 활동에 대한 가시성 부족, 원격 인프라의 물리적 보안 위험, 손상된 구성 요소를 초래할 수 있는 공급망 취약성이 포함됩니다. 종합적으로 이러한 위협은 산업 환경을 위한 엣지 컴퓨팅 및 연결 솔루션에서 강력한 보안 조치에 대한 중요한 필요성을 강조합니다.
문제 해결
데이터 보호
데이터 보호 문제를 해결하려면 전송 중 및 저장 데이터에 대한 암호화를 구현합니다. TLS를 통한 MQTT, HTTPS 및 HTTPS를 통한 WebSockets와 같은 보안 프로토콜을 사용합니다. IoT 디바이스와의 통신 및 일반적으로 IoT 산업 엣지 환경 내에서는 보안 모드가 활성화된 상태에서 CIP Security, Modbus Secure 및 Open Platform Communications Unified Architecture(OPC UA)와 같은 산업 프로토콜의 보안 버전을 사용하는 것이 좋습니다. 보안 프로토콜이 기본적으로 지원되지 않는 경우 프로토콜 변환기
IoT, IIoT 및 OT 환경용 AWS SRA의 맥락에서 보안 프로토콜 사용 및 변환은 여러 수준에서 구현되어야 합니다.
-
레벨 1. 보안 모드에서 OPC UA를 지원하는 산업 데이터 소스에 연결된 AWS IoT SiteWise Edge 게이트웨이를 사용합니다.
-
레벨 2. 레거시 프로토콜을 지원하는 파트너 데이터 소스와 결합된 AWS IoT SiteWise Edge 게이트웨이를 사용하여 필요한 프로토콜 변환을 달성합니다.
-
레벨 3. 를 통해 지원되는 MQTT 브로커와 함께 보안 로컬 MQTT 브로커 구성을 사용합니다 AWS IoT Greengrass.
ID 및 액세스 관리
강력한 자격 증명 및 액세스 관리 관행을 구현하여 무단 액세스 위험을 완화합니다. 가능한 경우 다중 인증 등 강력한 인증 방법을 사용하고 최소 권한 원칙을 적용합니다. 엣지 디바이스 관리의 경우 엣지 컴퓨팅 리소스의 보안 액세스 및 구성AWS Systems Manager
네트워크 보안
산업 엣지와 간의 보안 연결 AWS 클라우드 은 클라우드에서 IoT, IIoT 및 OT 워크로드를 성공적으로 배포하기 위한 중요한 구성 요소입니다. AWS SRA에서 볼 수 있듯이는 산업 엣지에서 AWS 환경에 대한 보안 연결을 설정하는 다양한 방법과 설계 패턴을 AWS 제공합니다.
연결은 다음 세 가지 방법 중 하나로 수행할 수 있습니다.
-
인터넷을 AWS 통해에 대한 보안 VPN 연결을 설정하여
-
를 통해 전용 프라이빗 연결을 설정하여 AWS Direct Connect
-
AWS IoT 퍼블릭 엔드포인트에 대한 보안 TLS 연결을 사용하여
이러한 옵션은 미국 국립표준기술연구소(NIST) 운영 기술 보안 가이드(NIST SP 800-82 개정 3)에 설명된 보안 지침에 따라 산업 엣지와 AWS 인프라 간에 안정적이고 암호화된 통신 채널을 제공합니다. 이를 통해 “리전 센터와 기본 제어 센터 간, 원격 스테이션과 제어 센터 간 등 네트워크 세그먼트 간 보안 연결을 사용해야 합니다.” https://csrc.nist.gov/pubs/sp/800/82/r3/final
AWS 및에서 실행되는 워크로드에 대한 보안 연결을 설정한 후에는 가능하면 Virtual Private Cloud(VPC) 엔드포인트를 AWS 서비스사용합니다. VPC 엔드포인트를 사용하면 퍼블릭 IP 주소를 사용하지 AWS 서비스 않고도 지원되는 리전에 비공개로 연결할 수 있습니다 AWS 서비스. 이 접근 방식은 VPC와 간에 프라이빗 연결을 설정하여 보안을 더욱 강화하는 데 도움이 되며 AWS 서비스, 안전한 데이터 전송 및 네트워크 세분화를 위한 NIST SP 800-82 개정 3 권장 사항에 부합합니다.
최소 권한 원칙을 적용하여 필요한 리소스에만 대한 액세스를 제어하고 제한하도록 VPC 엔드포인트 정책을 구성할 수 있습니다. 이를 통해 공격 영역을 줄이고 민감한 IoT, IIoT 및 OT 워크로드에 대한 무단 액세스 위험을 최소화할 수 있습니다. 필요한 서비스의 VPC 엔드포인트를 사용할 수 없는 경우 퍼블릭 인터넷을 통해 TLS를 사용하여 보안 연결을 설정할 수 있습니다. 이러한 시나리오의 모범 사례는 앞서 인프라 OU - 네트워크 계정 섹션에 나와 있듯이 TLS 프록시와 방화벽을 통해 이러한 연결을 라우팅하는 것입니다.
일부 환경에는 반대 방향으로 트래픽을 물리적으로 차단하면서 데이터를 한 방향으로에 AWS 전송해야 하는 요구 사항이 있을 수 있습니다. 환경에이 요구 사항이 있는 경우 데이터 다이오드와 단방향 게이트웨이를 사용할 수 있습니다. 단방향 게이트웨이는 하드웨어와 소프트웨어의 조합으로 구성됩니다. 게이트웨이는 물리적으로 데이터를 한 방향으로만 전송할 수 있으므로 IT 기반 또는 인터넷 기반 보안 이벤트가 OT 네트워크로 피벗될 가능성은 없습니다. 단방향 게이트웨이는 방화벽의 안전한 대안일 수 있습니다. 이들은 북미 전기 신뢰성 기업 중요 인프라 보호(NERC CIP),
