ODVA, 향상된 장치 ID 및 사용자 인증 추가해

ODVA가 사용자 수준 인증이 CIP Security에 추가되었음을 발표하였다.

EtherNet/IP의 사이버 보안 네트워크 확장인 EtherNet/IP 이전 CIP Security 규격 출판물에는 기기 그룹, 데이터 기밀성, 장치 인증, 장치 ID 및 장치 무결성을 포함한 주요 보안 속성이 있었다.

이제 CIP Security는 사용자 및 역할별로 촘촘한 신뢰 도메인, 사용자를 포함한 향상된 장치 ID 및 사용자 인증을 추가한다. IT와 OT가 산업 자동화로 융합됨에 따라 제어 엔지니어, IT 관리자 및 유지보수 운영자가 기기 매개 변수에 안전하게 액세스하고 수정할 수 있는 능력은 더욱 중요해졌다.

기기 수준 보안은 중요 자산 및 사용자를 잠재적, 물리적, 그리고 점점 더 발생할 수 있는 재정적 피해로부터 보호하기 위한 IIoT의 빌딩 블록 요건이 되고있다. 이 요구 사항을 충족하기 위해 강력한 CIP 보안 사용자 인증 프로파일은 로컬 및 중앙 사용자 인증 모두를 통해 잘 정의된 역할과 기본 권한 부여에 기반한 고정 사용자 액세스 정책을 통해 사용자 수준의 인증을 제공한다.

검증된 개방형 보안 포함

CIP Security는 장치 또는 중앙 서버를 통해 인증할 수 있으므로 작고 단순한 시스템에서부터 단순하지만 대규모로 복잡한 설치에서까지 효율성을 높일 수가 있다. CIP Security에는 이미 TLS(Transport Layer Security) 및 DTLS(Datagram Transport Layer Security)를 비롯한 강력하고 검증된 개방형 보안 기술이 포함되어 있다.

이 기술은 EtherNet/IP 트래픽, 해시 또는 HMAC(키드-해시 메시지 인증코드)의 안전한 전송을 제공하는 암호화방법으로 사용된다. EtherNet/IP 트래픽에 대한 Security 및 메시지 인증 그리고 인증되지 않은 당사자가 EtherNet/IP 데이터를 읽거나 보는 것을 방지하는 방식으로 메시지 또는 정보를 인코딩하는 수단으로 암호화하고 새로운 CIPTM 사용자 인증 프로파일은 애플리케이션 계층에서 CIP 통신에 대한 사용자 수준 인증을 제공한다.

“ODVA는 향후 CVA 개발에 지속적으로 투자할 것”

향후 CIP Security는 CIP 권한 부여 프로파일을 사용하여 사용자 및 시스템의 어떤 속성에도 기반할 수 있는 액세스 정책을 제공하고 잠재적으로 CIP 보안을 확장하여 다른 비 EtherNet/IP 네트워크를 지원할 수 있는 일반적이고 유연한 권한 부여와 같은 추가 보안 속성을 제공할 수가 있다. 새로운 사용자 인증 프로파일은 OAuth 2.0 및 OpenID을 포함한 몇 가지 개방적이고 공통적인 유비쿼터스 기술을 사용한다.

ID 암호화로 보호된 토큰 기반 사용자 인증, 인증 증명으로 JWT(JSON Web Tokens) 및 이미 존재하는 X.509 인증서를 통해 사용자와 장치에 암호화 방식으로 안전한 ID를 제공한다. 사용자가 유효한 JWT를 프레젠테이션 할 때 대상에 의해 생성된 암호화 보안 사용자 인증 세션 ID를 사용하여 인증 이벤트와 CIP 통신을 위해 사용자가 보낸 메시지 사이를 매핑한다. 사용자 인증 세션 ID는 (D)TLS 를 사용하여 EtherNet/IP를 통해 전송된다.

SIG(EtherNet/IP System Architecture Special Interest Group) 부회장인 Jack Visoky는 “사용자 인증은 완전한 EtherNet/IP 산업 통신 생태계의 일부인 핵심 네트워크 확장인 CIP Security 개발에 있어 또 다른 중요한 단계이다. 심층 방어의 일환으로 CIP Security는 공장 운영을 방해할 대상을 찾고 있는 악의적인 사이버 공격자에 대한 효과적인 억지력으로 설계되었습니다”라고 말했다.

ODVA의 사장겸 전무인 Al Beydoun 박사는 “연결된 인프라 및 자동화 시스템을 통해 CIP Security는 악의적인 사이버 보안 공격으로부터 전 세계 필수 제품의 귀중한 투자와 생산을 보호하는 데 그 어느 때보다 중요하다.”며 “ODVA는 향후 CVA 개발에 지속적으로 투자할 것”이라고 말했다. IP 보안 및 EtherNet/IP를 통해 최종 사용자가 나쁜 행위자에 의해 초래되는 물리적 및 재정적 피해로부터 보호받을 수 있다는 의미이다.