IT 및 OT 보안 통합, 2부: BAS 및 퍼듀 모델

홈 » 보안 블로거 네트워크 » IT 및 OT 보안 통합, 2부: BAS 및 퍼듀 모델

사고 리더십

2023년 6월 6일

이 새로운 블로그 시리즈에서 융합된 IT/OT 환경의 발전과 보안 제어 검증에 미치는 영향에 대해 알아보세요.

운영 기술(OT) 환경에서 BAS를 사용하는 방법에 대한 첫 번째 게시물에서 우리는 일반적인 융합 IT/OT 네트워크에 대한 개요, 산업 자산 소유자의 사이버 위험을 증가시키는 추세, 그리고 어떻게 해야 하는지에 대한 높은 수준의 논의를 제공했습니다. BAS는 통합 환경 전반에 걸쳐 더 나은 가시성과 보호 기능을 제공하는 데 도움이 될 수 있습니다. 이번 업데이트에서는 BAS가 이러한 사용 사례에서 제공하는 이점에 대해 논의하고 Purdue 모델을 사용하여 BAS가 결합된 IT/OT 아키텍처에 적합한 위치와 방법에 대해 자세히 살펴보겠습니다.

퍼듀(Purdue) 모델은 일반적으로 OT 보안을 지원하는 방식으로 산업 제어 시스템(ICS) 네트워크 아키텍처를 구축하기 위한 표준으로 받아들여지며, 네트워크 계층을 분리하여 계층 간 데이터 흐름을 유지합니다. API 1164, ISA/IEC 62443, NIST 800-82 등 다양한 산업 제어 시스템 프레임워크에 대한 기본 아키텍처 요구 사항입니다.

Purdue는 ICS 아키텍처의 일반적인 요소가 비즈니스 시스템(IT 네트워크)과 산업 제어 시스템(OT 네트워크)을 포함하는 6개 영역으로 나누어 어떻게 상호 연결되는지 보여줍니다. 올바르게 구현되면 ICS/OT와 IT 시스템 사이에 "공백"을 설정하여 이를 분리하여 조직이 비즈니스를 방해하지 않고 효과적인 액세스 제어를 시행할 수 있도록 돕습니다. 즉, Purdue는 OT 네트워크 아키텍처에 대한 일률적인 처방이 아닙니다. 모든 네트워크와 마찬가지로 모든 환경에는 각 계층마다 고유한 장치 모음이 있습니다.

그림 1:퍼듀의 기본 모델

퍼듀 모델은 각 레벨에 존재하는 시스템과 기술로 정의되는 6개의 네트워크 레벨로 구성됩니다. IT 시스템은 상위 2개 레벨을 차지하고 OT 시스템은 하위 3개 레벨을 차지하며 이들 사이에는 통합된 "비무장지대"가 있습니다. 각각에 대해 좀 더 자세히 살펴보겠습니다.

레벨 5/4: 기업 및 비즈니스 네트워크

전통적인 Purdue 모델에서는 분리되어 있지만 위의 기본 모델에서는 단순화를 위해 이 두 가지 수준이 결합되어 함께 IT 환경을 구성합니다. 레벨 4와 5는 Active Directory, HR 및 문서 관리 시스템, CRM(고객 관계 관리) 플랫폼, 내부 이메일, SOC(보안 운영 센터) 등 전사적 서비스로 구성됩니다. 또한 공장 생산 일정, 자재 사용, 배송 및 재고 수준을 결정하는 ERP(Enterprise Resource Planning)와 같은 현장별 서비스도 포함됩니다.

이 수준의 장치는 표준 IT 하드웨어, 클라우드 플랫폼, Windows 및 Linux와 같은 상용 운영 체제를 활용합니다.

레벨 3.5: IT/OT 비무장지대(DMZ)

IT 네트워크에 위치한 DMZ는 기업 네트워크와 인터넷을 분리하는 역할을 하는 반면, OT 네트워크에 위치한 DMZ는 산업 네트워크와 기업 네트워크를 분리하는 역할을 합니다. OT 측의 비즈니스 데이터에 대한 수요가 증가하고 그 반대의 경우도 마찬가지이므로 관리자는 DMZ를 통해 이 두 수준을 연결해야 했습니다.

이 계층의 장치에서는 표준 IT 하드웨어, 클라우드 및 소프트웨어도 실행됩니다.

레벨 3: 운영 시스템

이 수준에는 작업 현장에서 생산 작업 흐름을 관리하기 위한 모니터링, 감독 및 운영 지원이 포함됩니다. 여기에는 제조 운영 관리/제조 실행 시스템(MOMS/MES)을 실행하는 엔지니어링 및 운영 워크스테이션, 운영 프로세스 데이터를 저장하고 분석하는 데이터 히스토리언이 포함됩니다.

이 계층은 일반적으로 표준 IT, 클라우드, 모바일 하드웨어 및 OS에서 실행되는 전문 운영 관리 애플리케이션으로 구성됩니다.