장치 수명 주기 전반에 걸쳐 사이버 보안 지원

사이버 보안 기능이 내장된 Axis 장치는 침해 위험을 줄이고 안전한 행동을 가능하게 하도록 설계되었습니다. Axis의 접근 방식은 개발에서 폐기에 이르기까지 정책, 프로세스 및 기술에 사이버 보안 모범 사례를 적용하는 것입니다.

이 문서에서는Axis 장치의 수명 주기 전반에 걸쳐 존재하는 위험을 살펴보고, Axis가 어떤 사이버 보안 조치를 취하는지 그리고 이러한 위험을 완화하기 위해 Axis가 어떤 지원을 제공하는지 살펴봅니다.

안전한 기초

Axis 네트워크 장치의 경우 사이버 보안 고려 사항은 가장 기본적인 수준인 마이크로프로세서와 운영 체제인 AXIS OS에서 시작됩니다. 이러한 요소는 제품을 보호하는 데 도움이 되는 기반을 제공합니다.

Axis 시스템 온 칩(SoC)의 최신 버전은 ARTPEC-8입니다. SoC를 자체 설계하는 것의 장점은 SoC에 포함된 보안 기능과 생산 중에 보안 기능을 배포하는 프로세스를 우리가 완전히 통제할 수 있다는 것입니다. 이러한 관리와 투명성은 Axis 장치에서 가장 중요한 구성 요소의 하드웨어 및 소프트웨어 무결성을 보장합니다. 타사 SoC 공급업체와 협력할 때, Axis 자체 SoC와 동일한 보안 요구 사항을 해당 공급업체에 적용합니다.

강력한 하드웨어는 Axis의 고급 보안 기능을 사용하기 위해 동등하게 강력한 소프트웨어/펌웨어가 필요합니다. 바로 이 대목에서 Axis의 Linux 기반 운영 체제인 AXIS OS가 등장합니다. AXIS OS는 다양한 Axis 장치를 지원하므로 수많은 제품에서 사이버 보안 조치를 효율적으로 지원할 수 있는 고유한 가능성을 제공합니다.

소프트웨어 개발의 필수적인 부분은 보안 고려 사항이 나중에 고려되는 것이 아니라 처음부터 고려되도록 하는 것입니다. 안전한 개발 프로세스가 없으면 쉽게 악용될 수 있는 취약점이 있는 소프트웨어 릴리스가 발생할 수 있습니다.

Axis에서 소프트웨어 개발은 보안을 중심에 둔 Axis 보안 개발 모델 (ASDM) 에 따라 진행됩니다. ASDM의 정의된 프로세스 및 도구에는 위험 평가, 위협 모델링, 코드 및 소프트웨어 구성 분석, 취약점 스캐닝이 포함됩니다. ASDM의 목표는 다음과 같습니다.

• 소프트웨어 보안을Axis소프트웨어 개발 활동의 일부로 통합
• Axis 고객의 보안 관련 비즈니스 위험 감소
• 보안 고려 사항에 대한 Axis의 고객 및 파트너의 증가하는 인식 충족
• 취약점의 조기 발견 및 해결을 통한 비용 절감 가능성 창출

생산

공급망 투명성이 부족하면 최종 제품의 구성 요소가 손상될 수 있는 위험이 있습니다.

Axis는 공급망 전체에서 정보, 시스템, 구성 요소, 장비, 시설, 소프트웨어 및 장치를 안전하게 유지하기 위해 노력합니다. Axis 장치의 중요한 구성 요소는 전략적 공급업체로부터 직접 조달되어 내부에 보관됩니다. 중요하지 않은 구성 요소는 Axis의 요구 사항에 따라 Axis의 승인된 공급업체 목록에 있는 공급업체로부터만 Axis의 제조 파트너가 조달합니다.

Axis는 제조 파트너와 긴밀하게 협력하여 포트폴리오에 있는 대부분의 제품 라인을 생산합니다. Axis는 생산 공정을 정의하고 모니터링합니다. 생산 중 다양한 단계에서 구성 요소, 모듈 및 제품을 테스트하기 위한 시스템뿐만 아니라 중요한 생산 장비를 개발, 생산 및 제공합니다. 모든 소프트웨어와 테스트는 사내에서 개발됩니다. 제조 파트너의 생산 데이터는 24시간 연중무휴로 당사와 공유되어 실시간 데이터 분석이 가능합니다. 높은 수준의 투명성을 통해 Axis는 제조 파트너와 협력하고 완화 계획을 구현하여 잠재적인 보안 위험을 평가할 수 있습니다.

생산 중에 Axis장치에 설치되는 주요 사이버 보안 요소는 보안 침해 시 키와 민감한 데이터가 액세스 및 변조되지 않도록 보호하는 보안 암호화 컴퓨팅 모듈인 Edge Vault입니다. Edge Vault에 암호화되어 안전하게 저장된 키 중에는 Axis 장치 ID가 있습니다. Axis 장치 ID는 고유하며 Axis 장치의 전 세계적으로 고유한 일련 번호의 디지털 서명 버전을 포함하여 인증서 모음을 포함합니다. 장치 ID는 장치가 정품 Axis 제품임을 보증합니다.

또한, Axis는 Signed AXIS OS를 설치하여 장치 펌웨어의 신뢰성을 보장합니다. 디지털 서명은 펌웨어가 실제로 Axis에서 제공되고 손상되지 않았음을 보장합니다. 이외에도, AXIS OS는 장치에 다운로드 및 설치할 모든 새 펌웨어가 Axis 서명 펌웨어인지 확인합니다. 두 번째 방어선으로서 Axis Secure boot는 부팅할 때마다 펌웨어 서명을 확인합니다.

Axis 장치는 총판업체와 이후 시스템 통합업체로 배송되기 전에 Axis 구성 및 물류 센터 중 하나를 통과하여 추가 품질 관리를 받습니다.

부품 공급업체에서 유통 센터에 이르기까지 Axis 공급망 내의 모든 현장에서 Axis는 시설의 물리적 보안을 보장하기 위해 접근 제어에 대한 높은 요구 사항을 적용합니다.

유통

배송 중 발생할 수 있는 위험은 장치의 펌웨어 또는 구성을 조작하는 것입니다. Signed firmware 및 Secure boot와 관련된 조치는 장치의 공장 기본값을 설정하는 것과 함께 악의적인 수정으로부터 보호합니다.

구현

구현 중 위험은 네트워크에 손상되거나 부적절하게 강화된 제품을 배치함으로써 발생할 수 있습니다. 이로 인해 네트워크에 대한 무단 액세스가 발생하거나, 악의적인 공격에 사용하기 위해 개인 키 및 인증서와 같은 민감한 데이터 또는 자산을 추출하거나 네트워크 엔드포인트 간에 변경된 데이터가 전송될 수 있습니다. 그렇다면 Axis는 여러분이 이러한 문제를 해결하도록 어떻게 지원할까요?

초기 구현 시, Axis는 장치에서 공장 초기화를 수행할 것을 권장합니다. 이 작업은 남아 있는 유일한 소프트웨어가 AXIS OS이고 그 기본 설정만 남아 있기 때문에 장치에 원치 않는 소프트웨어나 구성이 전혀 없음을 보장합니다. 시작하는 과정에서 장치의 Secure boot는 Axis에서 장치의 펌웨어에 서명했는지 확인합니다. Secure boot는 장치가 시작되거나 전원이 켜질 때마다 발생합니다. Axis Signed firmware가 아님을 감지하면 장치가 이를 실행하지 않아 무단 작업이 발생하는 것을 방지합니다. Secure boot는 Axis 구성 및 물류 센터를 떠난 후 또는 작동 중에 변경되었을 수 있는 모든 펌웨어에 대한 방어를 제공합니다.

네트워크에서 정품 Axis 장치만 구현되도록 하기 위해 IEEE 802.1x 인증을 사용하거나 HTTPS 프로토콜을 통해 보안 네트워크 연결을 설정할 때 Axis 장치 ID를 확인할 수 있습니다. Axis 장치의 Edge Vault는 개인 키가 필요한 모든 암호화 작업의 처리를 지원하고 IEEE 802.1 AR 표준을 사용하여 보안 장치 인증을 가능하게 합니다.

AXIS OS 보안 강화 가이드는 Axis 장치 구현과 관련된 모든 사람에게 모범 사례와 기술 조언을 제공합니다. 일반적인 위협에 대응하기 위한 기준 구성을 설정하고 보안에 대한 다층적 접근 방식을 취합니다.

Axis 장치를 로컬에서 효율적으로 구성하고 관리하기 위한 도구는 AXIS Device Manager 입니다. 이 장치 관리자를 사용하면 장치 자격 증명 관리, 인증서 배포, 사용하지 않는 서비스 비활성화, AXIS OS 업그레이드와 같은 중요한 설치 및 보안 작업을 일괄 처리할 수 있습니다.

서비스 중에

서비스 중에 장치는 고의적인 공격이나 의도하지 않은 실수로 인한 위협에 노출될 수 있습니다. 공격자가 악용할 수 있는 알려진 취약점이 있는 펌웨어를 실행하거나, 인증되지 않은 펌웨어로 장치를 업데이트하거나, 보안 구성이 만료되도록 하면 위험이 발생할 수 있습니다.

Axis는 Axis 제품에서 발견된 보안 취약점과 관련된 위험을 식별하고 제한하기 위해 지속적으로 노력하고 있습니다. Axis는 AXIS OS에 보안 패치를 제공하고 공개 알림을 통해 이를 해결합니다.

Axis 장치의 사이버 보안을 유지하려면, 지속적인 지원을 받고 AXIS OS 업데이트를 자주 수행하는 것이 필수적입니다. Axis는 AXIS OS를 최신 상태로 유지하는 두 가지 방법, 즉 활성(Active) 트랙과 장기 지원(LTS. Long-Term-Support) 트랙을 제공합니다. 활성 트랙에서 AXIS OS는 새로운 기능과 보안 패치로 지속적으로 업데이트됩니다. LTS 트랙에서는 보안 패치만 AXIS OS 업데이트에 포함됩니다. AXIS OS 업데이트는 무료로 제공되며 업데이트에 대한 모든 정보는 AXIS OS Portal에서 찾을 수 있습니다.

펌웨어를 업그레이드할 때 장치의 기존 Signed AXIS OS는 다운로드할 새 펌웨어도 Signed firmware인지 자동으로 확인합니다. 그렇지 않으면 새 펌웨어를 설치할 수 없습니다. 이렇게 하면 승인된 펌웨어만 장치에 로드되고 Secure boot로 장치를 재부팅하면 펌웨어가 실제로 Axis Signed firmware라는 추가 제어 계층이 제공됩니다.

장치가 사용 중인 동안 효율적인 유지 관리를 위해, Axis는 AXIS Device Manager Extend를 AXIS Device Manager 보완품으로 제공합니다. AXIS Device Manager Extend는 Axis 장치를 원격으로 관리할 수 있는 직관적인 대시보드를 제공합니다. 이는 AXIS OS 업그레이드, 보안 정책 정의, 적용 및 시행, 애플리케이션 관리와 같은 중요한 유지 관리 작업의 확장을 단순화합니다.

승인된 공통 취약성 및 노출(Common Vulnerability and Exposures: CVE) 번호 부여 기관(Numbering Authority: CNA)인 Axis는 발견된 취약점을 투명하게 관리하고 대응하는 업계 모범 관행을 따릅니다. Axis는 일반적으로 알려진 CVSS 평가 시스템(Common Vulnerability Scoring System)을 사용하여 Axis가 개발한 코드 또는 타사 오픈 소스 코드와 관련된 취약점을 평가합니다. Axis는 모범 관행 권장 사항이 적용될 때 Axis 제품과 얼마나 관련이 있는가 하는 것에 따라 오픈 소스 코드의 취약점을 평가합니다. Axis 보안 알림 서비스 (Axis Security Notification Service) 에 가입하면 Axis 제품에 대한 취약점 및 기타 보안 관련 문제에 대한 정보를 받을 수 있습니다. 자세한 내용은 Axis 취약점 관리 정책 문서에서 확인할 수 있습니다.

Axis는 Axis 장치의 유지 관리를 지원할 뿐만 아니라 Signed video도 제공합니다. Signed video는 영상이 카메라를 떠난 후 변조되지 않았다는 추가적인 신뢰와 확신을 제공합니다. Signed video는 각 비디오 프레임에 암호화 체크섬을 추가한 다음 Axis 장치 ID로 서명됩니다. 이를 통해 전체 신뢰 체인을 증명할 필요 없이 영상 출처를 증명할 수 있습니다. 또한 Axis 파일 플레이어를 이용하여, 내보낸 영상 사본이 변경되었거나 원본 녹화에서 일부가 제거되었는지 Signed video를 통해 확인할 수 있습니다. 영상 진본성을 증명하는 것은 조사나 기소에서 특히 중요합니다.

폐기

더 이상 지원되지 않고 알려져 있으며 패치되지 않은 취약점이 있는 장치가 네트워크에 있으면 시스템이 위험합니다. 폐기 후 장치에 민감한 데이터를 사용할 수 있는 상태로 두는 것도 위험합니다. 그렇다면 이러한 문제를 해결하는 데 도움이 될 수 있는 조치는 무엇일까요?

AXIS Device Manager Extend는 감시 솔루션 내에서 장치를 관리하고 보호하는 도구의 역할을 넘어 제품 단종 및 지원 종료 정보를 포함하여 시스템의 모든 장치에 대한 보증 상태를 추적할 수 있습니다.

수리, 교체 또는 폐기를 위해 장치를 Axis 또는 Axis 파트너 중 하나로 반품해야 하는 경우, Axis는RMA(반품 승인) 프로세스의 일부로 데이터 제거 및 장치 위생에 관한 지침을 제공합니다.

Axis 장치를 폐기할 때, 공장 초기화를 수행하여 모든 구성과 데이터를 지워야 합니다.

위험 완화

사이버 보안을 유지하는 것은 위험을 관리하는 것입니다. 위험을 이해하고 이러한 위험을 관리하기 위한 적극적인 결정을 내리고 자체 시스템에 모범 관행이 구현되도록 하는 것입니다. 공급업체로서Axis는 모범 관행을 따라 책임을 집니다. 또한 고객이Axis제품을 사용할 때 위험을 완화하는 데 도움이 되는 지침, 기술, 도구 및 서비스를 지원합니다.